매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠.


뭔가 이상한 샘플이 눈에 띄었습니다.

 

Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다.





변형을 검색해보니 6개나 있더군요.


그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다.




요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝...


IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다.


이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.

문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요.



악성코드에서 웬 다이렉트 X를... ?!


몇가지 정황에서 이건 게임과 관련된게 아닐까하는 의심이 들었습니다.


인터넷 검색을 통해 DayZ라는 게임이 있네요. (....)




뭔가 새로운 악성코드라고 생각했는데 게임 봇이었다니…

약간의 허털감...



어릴 때부터 컴퓨터를 해왔고 게임을 즐겨 했지만 나이가 들면서 게임 할 시간이 없고 요즘 게임은 거의 하지 못해 게임을 잘몰라서 발생한 일입니다.

특히 악성코드와 게임 오토 프로그램 용어가 유사 (Hack, bot, zombie, Troyan ....)하고 입력 부분을 가로채는 기능 등이 존재해 발생하는 헤프닝이기도 합니다.



결론은 악성코드 분석가들이여 게임을 하자 !

(좀.. 이상하네요 ㅋ)




저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.07.28 14:58 신고  댓글주소  수정/삭제  댓글쓰기

    그래서 제가 보안을 더 잘하기 위해 최신 게임의 트렌드를 파악하고 있죠~!(라고 자기 합리화 중)



- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"

http://techneedle.com/archives/17503


물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.

하지만, 현실을 제대로 보지 못하는 문제가 크네요.

(애써 외면하는 걸로 보이네요.)


현존하는 모바일 악성코드 대부분이 Android 기반입니다.

국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다.


게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다.


물론 확률의 문제이긴 합니다.

하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 합니다.


마이크로소프트사가 보안 문제가 윈도우의 발목을 잡을 수 있다고 심각하게 생각한 것 처럼

구글도 계속 이 상태로 가면 안드로이드 보급의 발목을 잡을 수 있을 겁니다.


당장 저부터 보안 생각해서 스마트폰으로 갈아타면 안드로이드가 아닌 아이폰으로 바꾸려고 합니다.

(통신사까지 바꿔야하는 귀찮음이 있습니다만...)









저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2014.07.12 11:39 신고  댓글주소  수정/삭제  댓글쓰기

    아직 스마트폰이 아니신가 봅니다? 저도 그런데..ㅎ