본문 바로가기

벌새::Analysis

키로깅 기능을 추가하는 멜론(Melon) 크랙 주의 (2012.3.2)

국내 멜론(Melon) 음악 서비스를 불법적으로 이용할 목적으로 제작된 크랙(Crack) 파일을 실행할 경우 사용자 몰래 민감한 정보를 수집할 목적의 악성 파일을 추가로 설치하는 사례를 확인하였습니다.

  AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의 (2012.3.2)

해당 멜론(Melon) 크랙은 이전에 소개한 AhnLab 파일로 위장한 악성 파일을 사용자 몰래 설치하는 크랙 제작자와 연관성이 존재한 것으로 추정되므로 참고하시기 바랍니다.

특히 이들 크랙 제작자들은 주기적으로 크랙 버전을 업데이트하고 있으며, 다수의 사용자들이 기존 버전의 크랙 파일이 막히면 업데이트된 새로운 크랙 파일을 다운로드하여 반복적으로 사용하는 과정에서 백신 프로그램의 진단을 우회할 것으로 보입니다.

현재 유포되는 멜론(Melon) 크랙 파일은 네이버(Naver) 블로그를 통해 유포가 되고 있으며, 글 작성 패턴이 이전 제작자와 유사하므로 동일인 또는 협업 관계로 추정됩니다.

 

크랙 파일의 압축 내부에는 Windows XP용과 Windows 7 운영 체제로 구분되어 있으며, 2012년 3월 1일경에 제작하여 배포가 이루어지고 있는 것으로 보입니다.

 

멜론크랙[XP].exe (MD5 : b1b1cfc7d7ee5d6787bd6407593adf24)

Windows XP 운영 체제에서 사용할 수 있는 크랙 파일은 "Kydea 멜론크랙"으로 표기되어 있으며, Kaspersky 보안 제품에서 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 7/42) 진단명으로 진단되고 있습니다.

 

멜론크랙[Win7].exe (MD5 : a0e02f9f26af8674e7954ac7f6382191)

Windows 7 운영 체제용 크랙 파일은 특별한 정보가 표시되어 있지 않으며, Microsoft 보안 제품에서는 Backdoor:Win32/Fynloski.A (VirusTotal : 24/42) 진단명으로 진단되고 있습니다.

 

흥미로운 점은 해당 크랙 파일은 가상 환경에서 실행되어 분석되는 것을 방해할 목적으로 실행시 "Failed to run protected application" 오류창이 생성되는 것을 확인할 수 있습니다.

 

크랙 파일을 실행하면 "키데아의 멜론크랙"이라는 이름으로 핵 적용 기능이 포함된 창이 생성됩니다.

 

이 과정에서 백그라운드 방식으로 사용자 몰래 티스토리(Tistory) 블로그에 등록된 특정 파일을 다운로드하여 "C:\Program Files\Internet Explorer\svchost.exe" 파일을 생성하는 동작이 이루어집니다.

 

테스트 과정에서는 생성된 svchost.exe 파일이 실행되는 과정에서 "16비트 MS-DOS 하위 시스템" 오류창이 생성되는 것을 확인할 수 있으며, 일부 환경에 따라서는 실제 정상적으로 설치가 되지 않을 수도 있습니다.
 
  • h**p://sktk***.tistory.com/attachment/cfile10.uf@133634394F4DF21128AFE7.exe (MD5 : a7dd9c224dbe16ec28c104dd93c99c40) - Avira AntiVir : BDS/Backdoor.Gen (VirusTotal : 12/42)

티스토리 블로그에 등록된 파일을 이용하여 실제 감염된 경우 어떤 동작을 하는지 살펴보도록 하겠습니다.

 

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys :: 수집된 정보 저장 파일
C:\Program Files\Microsoft ActiveSynces :: 숨김(H) 속성
C:\Program Files\Microsoft ActiveSynces\winupdater.exe :: 숨김(H) 속성 / 시작 프로그램 등록 파일
 - MD5 : a7dd9c224dbe16ec28c104dd93c99c40

 - Avira AntiVir : BDS/Backdoor.Gen (VirusTotal : 12/42)
※ winupdater.exe 파일은 티스토리 블로그에서 다운로드된 파일의 자가 복제 파일입니다.

 

C:\Program Files\Microsoft ActiveSynces\winupdater.exe

숨김(H) 속성으로 생성된 "C:\Program Files\Microsoft ActiveSynces" 폴더 및 파일은 마치 마이크로소프트(Microsoft)사의 정상적인 폴더로 위장을 하고 있으며, 시스템 시작시 자동 실행되도록 등록되어 있습니다.

 

감염된 상태에서는 explorer.exe 윈도우 탐색기 프로세스를 추가로 한 개 더 생성하여 "sktkxks.codns.com" C&C 서버와 연결을 주기적으로 하는 동작을 확인할 수 있습니다.

 

또한 사용자가 PC에서 입력하는 모든 정보를 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys" 파일에 저장하며, 특정 시간에 저장된 파일은 외부로 전송되는 것으로 보입니다.

그 외에 자신의 동작을 원활하게 하기 위하여 윈도우 방화벽의 레지스트리 값을 추가하는 동작도 확인할 수 있었습니다.

그러므로 해당 악성코드 문제를 해결하기 위해서는 멜론(Melon) 크랙 파일 자체를 실행하는 일이 없도록 해야 할 것이며, 다음과 같은 방식으로 문제를 해결하시기 바랍니다.

(1) Windows 작업 관리자에서 explorer.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

단, 주의할 점은 정상적인 explorer.exe 프로세스 이외에 추가적으로 explorer.exe 프로세스를 생성하여 통신을 하므로 Process Explorer 프로그램을 이용하여 단독을 실행되어 CPU 사용률이 있는 explorer.exe 프로세스를 찾아 종료하시기 바랍니다.

(2) 다음의 생성 폴더와 파일을 수동으로 삭제하시기 바랍니다.(※ 폴더 옵션에서 숨김 폴더, 파일을 표시하도록 변경하시고 찾으시기 바랍니다.)

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys
  • C:\Program Files\Microsoft ActiveSynces
  • C:\Program Files\Microsoft ActiveSynces\winupdater.exe

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값에 대해 수정 및 삭제를 하시기 바랍니다.

 

[생성 / 변경된 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winupdater = C:\Program Files\Microsoft ActiveSynces\winupdater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\Program Files\Microsoft ActiveSynces\winupdater.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
 - DisableNotifications = 1
 - EnableFirewall = 1

참고로 변경된 레지스트리 값의 경우 "변경 후" 값을 "변경 전" 값으로 수정하시기 바랍니다.

 

(4) 이용하시는 멜론(Melon) 크랙 파일을 삭제하시기 바라며, 보안 제품을 통해 추가적인 정밀 검사를 진행하시는 것이 좋습니다.

앞으로도 해당 제작자들이 새로운 형태로 크랙 파일을 제작하여 유포할 것으로 보이므로 절대로 사용하지 않는 것이 중요합니다.

이번 악성코드는 감염된 PC에서 입력한 각종 정보(로그인 정보, 금융 정보 등)를 통해 악의적인 피해를 유발할 수 있으므로 파일을 삭제하신 후에는 반드시 비밀번호 변경 등의 사후 조치를 하시는 것이 안전합니다.

  • 이전 댓글 더보기
  • 비밀댓글입니다

    • 제가 확인한 크랙 이외의 다른 크랙인 경우에는 또 다른 파일이 존재할 수도 있습니다.

      크랙 프로그램 자체를 사용하지 않는 것이 중요하며, 보안 제품을 이용하여 정밀 검사를 하시는 것이 좋습니다.

  • 벌새님... 2012.03.02 21:31 댓글주소 수정/삭제 댓글쓰기

    저는 윈7을 사용하는 사용자입니다..
    멜론 크랙도 최근에 들은적이 있구요 ..
    하지만 V3 internet security 라는 백신에서 바이러스 감지가
    안됩니다..(멜론크랙에서 바이러스감지안됨..)

    백신이 감지햇으면 괜찮은데 바이러스 감지가 안되니깐 더 불길하네요;;
    삭제만해도 해킹당하지 않나요...?
    치료해야되는걸루 아는데

    • 오늘 샘플 신고를 했으므로 내일 업데이트에 반영될 것으로 알고 있으며, 제가 확인하지 않은 다른 크랙에 대해서는 알 수가 없습니다.

      그리고 크랙 파일을 이용한다는 자체가 위험에 언제든지 노출될 가능성이 있으므로 되도록 사용하지 않는 것이 좋습니다.

      해당 악성 파일들은 정상적인 파일에 바이러스 코드를 추가하는 것이 아니므로 파일 삭제가 치료를 의미합니다.

  • 안녕하세요 2012.03.02 23:59 댓글주소 수정/삭제 댓글쓰기

    저기 죄송하지만 원격으로 삭제좀해주실수잇을까요...

    그리고 서든이 불법프로그램오류가뜨거든요;;;

    멜론크랙으로 듣다가 몇시간후 오류가뜨는데 이것도 크랙때문인가요?

    그리고 내일 포맷하러갈껀데.. 포맷하면 없어지겟죠?

    • 해당 악성코드는 포맷을 하시면 깨끗하게 제거됩니다.

      서든 불법 프로그램의 경우에는 온라인 게임 관련 악성 파일에 감염된 경우가 아닐까 싶습니다.

      본인이 서든 관련 핵을 사용하지 않는다면 아마 그런 것 같습니다.

      감염으로 고생스러우면 포맷이 가장 빠른 방법 중 하나입니다.

  • ...! 2012.03.03 02:43 댓글주소 수정/삭제 댓글쓰기

    밤에... 스마트폰으로 보다가...
    급 컴퓨터겨서 레지스토리 파일 폴더 프로그램 다삭제했습니다.
    감사합니다...........!!!!!!!!!

  • 블랙번 2012.03.03 11:19 댓글주소 수정/삭제 댓글쓰기

    이파일 저가아는 카페중 한곳에서 광고를 통해 유포했다가 실제로 몇명 감염됬더군요;;;

  • 블랙번로버스 2012.03.03 17:25 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다..오늘 난데없이 네이버아이디 도용됐다고해서..혹시나했는데 역시나였네요 마이크로소프트 시큐리티에센셜(mse)는 바이러스 잡아내더라고요..Backdoor:Win32/Fynloski.A나왔었는데..설마하고 썼다가 네이버아이디도용..큰 낭패볼뻔했습니다...정말감사합니다~다른분들 v3나 알약쓰시는분들 mse로 갈아타세요~ mse가 생각보다 잘 잡는듯하네요..

  • 김민현 2012.03.03 19:04 댓글주소 수정/삭제 댓글쓰기

    으아아아악 저도 저놈한테 당햇어여 ㅠㅠㅠㅠㅠ읗엏엏어 그래서 지금 피파온라인2를 하는데 자꾸 게임핵이 발견된다구 하네여 ㅠㅠㅠ어캐 해야되네??

  • svchost.exe 랑 mssvc가 감염되었다고하는데

    삭제를하면되나요??

  • 윈7에서 C:\Documents and Settings\사용자 계정)\Local Settings\Temp\dclogs.sys

    못찾겟네요 ㅠㅠ; 백신이 이미삭제했나??

    temp 파일 드가도 없네여..

    그리고 svchost.exe 파일이 감염되어있다고 지금 격리되어있는데 이거 삭제해도되는건가요 svchost.exe파일은 C:\program File\internet Explorer\svchost.exe에 있다고뜨네요

    • 엄밀하게 말해서 해당 파일은 악성 파일은 아니라 사용자 키워드 정보를 저장한 파일입니다.

      그러므로 파일이 없다면 무시하시기 바랍니다.

      그리고 Internet Explorer 폴더 내부에는 기본적으로 svchost.exe 파일이 존재하지 않는 것이 정상이므로 격리 처리를 하시는 것이 맞습니다.

  • 아옹 2012.03.04 10:19 댓글주소 수정/삭제 댓글쓰기

    어베스트 쓰는데 첫날에잘되다가 다음날부터 이상하게 실행자체를 어베스트에서 막아버리더라고요 왜그런가햇는데 이런파일이엿네요 ㅜㅜ
    감사합니다

  • 아 그래서 갑자기 어베스트에서 삭제시킨거군요
    좋은정보 감사합니다
    레지스트리 정리가 까다롭네요
    게임하는데도 게임가드너에서 핵쓴다고 차단하고,,,

  • 김민현 2012.03.04 13:06 댓글주소 수정/삭제 댓글쓰기

    벌새님 파일이랑 레지스트리? 그걸 삭제하란건 뭔말이죠??
    ㅡㅜㅜㅜ제가 아예 몰라서 그래여..

    • 파일 삭제라는 것은 윈도우 탐색기를 실행해서 생성 파일 정보를 보시고 파일을 찾아 삭제를 하라는 말입니다.

      레지스트리 삭제는 레지스트리 편집기(시작 버튼 - 실행 - regedit 입력)를 열어서 생성 레지스트리 값을 찾아 삭제를 하시라는 말입니다.

      단, 변경된 값은 이전 값(변경 전)으로 수정을 하시면 됩니다.

  • 우와 2012.03.05 22:02 댓글주소 수정/삭제 댓글쓰기

    - DisableNotifications = 1
    - EnableFirewall = 1

    이 두값 레지스트리 편집기 들어가서

    삭제 하면 되는건가요 ?

  • 벌새님팬. 2012.03.08 18:27 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다.^^

    저희 집도 이미 감염이 되었네요....쩝...

    뭐 불법적으로 사용해서 당하는 것이라 할 말은 없습니다만, 이런 걸 숨기고 있었군요...그냥 돈 주고 쓰는게 확실히 좋을 것 같네요.

    아 그리고 의심가는 특정 멜론 크랙 파일도 있네요....오늘 업데이트 했다는데...

  • 비밀댓글입니다

    • 주신 링크는 최근에 확인을 하였습니다만 블로그에 공개하지는 않을 예정입니다.

      이유는 말씀드릴 수 없지만, 해당 방식도 차후 악용 소지는 분명히 있는 방식이라고 보입니다.

  • 비밀댓글입니다

    • 그게 애매한 부분입니다.

      실행하면 특정 외부 서버에서 파일을 받아오는데, 그 파일이 배포자의 의도에 따라 특정 시간에는 악성 파일을 받아올 수도 있으므로 악성이다 아니다를 결정하기 어렵습니다.

      그런 방식은 나중을 위해서라도 이용하지 않는게 좋습니다.

  • 비밀댓글입니다

  • 질문 2012.03.09 01:53 댓글주소 수정/삭제 댓글쓰기

    질문입니다. 윈도우 부팅시 처음뜨는 Backdoor:Win32/Fynloski.A 라는 바이서를 매번 제거한경우에도 dclog에 저장된 키로깅정보가 유출되었을확률이 있을까요?
    매번 Backdoor:Win32/Fynloski.A 를 제거하긴 했으나
    프로세스상에서는 exploror.exe가 상주해있는걸 확인했습니다.
    mse기록을보니 Backdoor:Win32/Fynloski.A를 매일 제거한 기록이있더군요.
    귀찮게 해드려서 죄송합니다.

    • 유출을 담당하는 파일은 Backdoor:Win32/Fynloski.A 진단명으로 진단되는 파일입니다. 그러므로 해당 진단명으로 치료를 했다면 유출되지 않습니다.

      explorer.exe 프로세스는 윈도우 기본 프로세스입니다.^^

      그리고 매일 제거한 이유는 사용자가 매번 멜론크랙 파일을 이용하기 때문에 크랙 이용시마다 감염되는 것이므로 이용하지 마시기 바랍니다.

  • 호오.. 2012.03.10 17:50 댓글주소 수정/삭제 댓글쓰기

    호오.. 실력이 대단하시군요..
    감사합니다
    많은걸 알고갑니다 ㅎㅎ

  • 후니 2012.04.07 20:32 댓글주소 수정/삭제 댓글쓰기

    저런 폴더랑 파일이 없다면 무사한거죠??
    숨김파일 표시햇는데도..폴더랑 파일이 전혀 안보이내요.
    그럼 감염안된거죠??
    전 저런 크랙프로그램말고 다른거 썼었거든요..;;
    바이러스없다고 인증된거..