요즘 고전게임하는데 한참 빠져있죠.

- 정확하게는 고전게임 정리.. 지금 1992년 게임 정리 중입니다.

 

오래된 게임부터 하나씩 하고 있죠.

오늘 플레이한 게임은 세가 엔터프라이즈 (Sega Enterprises Inc.)의 1984년 작 Zaxxon 입니다.

 

 

어느 정도 나이가 있는 컴퓨터 사용자라면 해봤을 가능성이 높은 게임이죠.

좌우 뿐 아니라 높낮이가 있는 당시에는 혁신적인(?) 슈팅 게임입니다.

 

파일을 정리하다보니 실행 파일이 총 3개 나오더군요.

(저도 다른 사람이 정리한걸 다시 정리하는거라...)

 

 

167ba69413c3312311d916b26b0c3f77 *zaxxon.com
bd4908612f628879b513ab2c291fa375 *zaxxon.nosound.1984.com
26facda431336af10fa4990d92ce038f *zaxxon.sound.1984.com

 

다양한 버전이 존재하는 게임도 있기 때문에 그런게 아닐까 생각했죠.

그런데, 조금 미스테리한 내용이 있습니다.

 

우선 Zaxxon.com (20,736 바이트)를 열어보면 COM 파일인걸 알 수 있습니다.

 

 

zaxxon.sound.1984.com과 비교해보면 처음 부분이 완전히 다릅니다.

 

 

하지만, 자세히 보면 Zaxxon.com의 0x100과 Zaxxon.sound.1984.com 첫부분이 거의 동일한걸 알 수 있습니다.

 

 

Zaxxon.com의 코드를 따라가면 세그먼트와 오프셋 변경하는 코드를 볼 수 있습니다.

쉽게 Zaxxon.com은 파일 오프셋 0x100 (메모리에서는 0x200)의 코드가 실행됩니다.

 

 

Zaxxon.sound.1984.com의 코드를 따라가봐도 비슷한 코드가 있지만...

JMP (0xE9)로 시작하는 코드를 MOV (0xB8)로 수정하네요.

 

 

 

 

결국 Zaxxon.com은 앞부분이 조금 수정되었고 두 파일은 같다고 보시면 됩니다.

 

Zaxxon.com 에 포함된 문자열을 보면 누군가 COM 파일을 조작해서

바이러스처럼 앞부분 (0x100 만큼) 코드를 넣고 복구해주는게 아닐까 생각합니다.

(게임 처음부터 이렇게 되어있는지는 모르겠네요.)

 

 

하지만, 의아한건 파일 끝부분입니다.

Zaxxon에는 볼 수 없지만 Zaxxon.sound.1984.com은 'Booty 1997!'라는 문자열을 볼 수 있습니다.

 

이건 무슨 의미일까요 ?

 

 

바이러스에 한번 감염되었나도 생각해봤는데 해당 문자열을 가진 바이러스는 아직 찾지 못했습니다.

 

아직 모르겠네요 TT

 

고전 게임 정리하다 보니 크랙커(Cracker)들이 수정한 파일도 보이고 게임 이외 다른 것도 보니 재미있네요.

 

다른 게임도 한번 ~

 

 

Posted by mstoned7

댓글을 달아 주세요


제가 활동하는 카페에 들렸다가 삼성 임직원 아웃백 할인쿠폼(50%) 생성기란 프로그램을 접했습니다.

제작 날짜는 2007년 12월로 되어 있어 2년 전쯤에 작성된 프로그램이네요.




사람들 댓글을 보고.. 기대 없이 실행했습니다.



역시 결과는....





퀵하게 봤는데..
악성코드는 아닌 듯 합니다.

프로그램보면 2007년 12월 14일(금) 오후 2시 쯤에 만들었네요.
제작자가 직장인 이라면 점심 먹고... 문듯 아이디어가 생각나서 만들어본게 아닐까 생각합니다.
Posted by mstoned7

댓글을 달아 주세요

  1. 숲속얘기 2009.09.28 09:43  댓글주소  수정/삭제  댓글쓰기

    낚였군요. 이전에 마우스에 도망치던 hdd포맷 프로그램이 생가나네요.

  2. JQ 2009.10.05 11:04 신고  댓글주소  수정/삭제  댓글쓰기

    움짤에 웃고 갑니다. ^-^

  3. seankang 2009.10.06 14:15  댓글주소  수정/삭제  댓글쓰기

    전에 친구가 메신저로 삼성 임직원 아웃백 할인쿠폰(50%).jpg파일을 보내 주더군요..

    열어보니 저 그림이 나오던데, 저 프로그램이 원조인가 보군요 ㅎㅎ


접수된 파일을 분석하다 몇 몇 제품에서 바이럿 바이러스(Virut virus)라고 진단이 되었습니다.
파일을 보니 윈도우 로그온에 사용되는 LOGONUI.EXE 파일이더군요.

파일을 비교해보니 과거 바이럿 바이러스에 감염되었다가 치료된 파일이었습니다.


바이러스에서 감염 여부를 확인할 때 사용하는 지문을 진단에 이용한 걸로 보이는데...
이런 진단 방법은 바이러스에 치료된 파일을 오진하는 문제가 발생할 수 있습니다.
Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.08.12 17:51  댓글주소  수정/삭제  댓글쓰기

    어디서 온 파일인지 알겠네요^^ K모모모

  2. CherryLove™ 2009.08.13 12:04 신고  댓글주소  수정/삭제  댓글쓰기

    HIEW가 이럴 때 매우 유용하네요.. ㅋㅋ ^^


- 파일이름 : is-61BTR.EXE
- 파일길이 : 55,808 바이트
- MD5 : 16b9cad831ffb94dad8ac991f3bf1e4f

이노셋업을 이용해 패키지 설치시 설치되는 임시 파일입니다.

-----------

안티바이러스 엔진 버전 정의 날짜 검사 결과

a-squared 4.0.0.93 2009.02.24 Backdoor.Win32.Hupigon!IK
AhnLab-V3 2009.2.24.0 2009.02.24 -
AntiVir 7.9.0.88 2009.02.24 BDS/Hupigon.aojt
Authentium 5.1.0.4 2009.02.24 -
Avast 4.8.1335.0 2009.02.24 Win32:Trojan-gen {Other}
AVG 8.0.0.237 2009.02.24 BackDoor.Hupigon3.ARFG
BitDefender 7.2 2009.02.24 -
CAT-QuickHeal 10.00 2009.02.22 Backdoor.Hupigon.aojt
ClamAV 0.94.1 2009.02.24 Trojan.Hupigon-10922
Comodo 983 2009.02.20 Unclassified Malware
DrWeb 4.44.0.09170 2009.02.25 -
eSafe 7.0.17.0 2009.02.25 Win32.Hupigon.aojt
eTrust-Vet 31.6.6372 2009.02.24 -
F-Prot 4.4.4.56 2009.02.24 -
F-Secure 8.0.14470.0 2009.02.25 -
Fortinet 3.117.0.0 2009.02.24 W32/Hupigon.AOJT!tr.bdr
GData 19 2009.02.24 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2009.02.24 Backdoor.Win32.Hupigon
K7AntiVirus 7.10.639 2009.02.21 Backdoor.Win32.Hupigon.aojt
Kaspersky 7.0.0.125 2009.02.25 -
McAfee 5535 2009.02.24 BackDoor-AWQ.b
McAfee+Artemis 5535 2009.02.24 BackDoor-AWQ.b
Microsoft 1.4306 2009.02.24 -
NOD32 3886 2009.02.24 probably a variant of Win32/Hupigon
Norman 6.00.06 2009.02.24 W32/Hupigon.CWYG
nProtect 2009.1.8.0 2009.02.24 -
Panda 10.0.0.10 2009.02.24 Trj/CI.A
PCTools 4.4.2.0 2009.02.24 Backdoor.Hupigon.HWD
Prevx1 V2 2009.02.25 High Risk System Back Door
Rising 21.18.12.00 2009.02.24 -
SecureWeb-Gateway 6.7.6 2009.02.24 Trojan.Backdoor.Hupigon.aojt
Sophos 4.39.0 2009.02.25 Mal/Generic-A
Sunbelt 3.2.1856.2 2009.02.24 Backdoor.Win32.Hupigon.aojt
Symantec 10 2009.02.25 -
TheHacker 6.3.2.5.264 2009.02.24 Backdoor/Hupigon.aojt
TrendMicro 8.700.0.1004 2009.02.24 -
VBA32 3.12.10.0 2009.02.25 Backdoor.Win32.Hupigon.aojt
ViRobot 2009.2.24.1621 2009.02.24 -
VirusBuster 4.5.11.0 2009.02.24 Backdoor.Hupigon.HWD

Posted by mstoned7

댓글을 달아 주세요

IEInspector의 IEWebDeveloperV2 모듈

정상입니다.

- File size: 125440 bytes
- MD5...: 471ed11e1d30767ec4fa49b1d060ef22
- SHA1..: 4a341663e03d36203f65384111781e68fac4fbc8
- SHA256: 6508260b7c67df8801235787a27253a189739dead9f2ad1bd1b3941ccb50c43f
- SHA512: 56e11fd469eff44e4cc2de3b6684fe669ba9bfcf7b59cdd17f37fbd1997d504b
222fec0da51b0fa13ce1cbb16036572b2f26240b60aadb162dbd12e23988aebe


안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.93 2009.01.30 -
AhnLab-V3 5.0.0.2 2009.01.30 -
AntiVir 7.9.0.60 2009.01.30 -
Authentium 5.1.0.4 2009.01.30 -
Avast 4.8.1281.0 2009.01.29 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.29 PSW.Banker5.BTQ
BitDefender 7.2 2009.01.30 Trojan.Generic.1196295
CAT-QuickHeal 10.00 2009.01.30 -
ClamAV 0.94.1 2009.01.30 -
Comodo 952 2009.01.29 -
DrWeb 4.44.0.09170 2009.01.30 -
eSafe 7.0.17.0 2009.01.29 -
eTrust-Vet 31.6.6335 2009.01.29 -
F-Prot 4.4.4.56 2009.01.29 -
F-Secure 8.0.14470.0 2009.01.30 -
Fortinet 3.117.0.0 2009.01.30 suspicious
GData 19 2009.01.30 Trojan.Generic.1196295
Ikarus T3.1.1.45.0 2009.01.30 -
K7AntiVirus 7.10.609 2009.01.29 -
Kaspersky 7.0.0.125 2009.01.30 -
McAfee 5510 2009.01.29 -
McAfee+Artemis 5510 2009.01.29 -
Microsoft 1.4306 2009.01.30 -
NOD32 3811 2009.01.29 -
Norman 6.00.02 2009.01.29 -
nProtect 2009.1.8.0 2009.01.30 -
Panda 9.5.1.2 2009.01.30 -
PCTools 4.4.2.0 2009.01.29 -
Prevx1 V2 2009.01.30 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.30 -
Sophos 4.38.0 2009.01.30 Sus/Madcode-A
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.30 -
TheHacker 6.3.1.5.236 2009.01.30 -
TrendMicro 8.700.0.1004 2009.01.30 -
VBA32 3.12.8.11 2009.01.30 Trojan-Downloader.Win32.Dadobra.avs
ViRobot 2009.1.30.1581 2009.01.30 -
VirusBuster 4.5.11.0 2009.01.29 -
Posted by mstoned7

댓글을 달아 주세요


대한약사회에서 배포하는 PM2000 v5 파일이라고 한다.

- 파일이름 : svrhostc.exe 로 추정
- 파일길이 : 1,544,704 바이트
- MD5 : f34e7302fca6768905c16c11985e5cb3

UPX로 압축되어 있다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.73 2009.01.21 -
AhnLab-V3 5.0.0.2 2009.01.21 -
AntiVir 7.9.0.57 2009.01.20 -
Authentium 5.1.0.4 2009.01.20 -
Avast 4.8.1281.0 2009.01.20 -
AVG 8.0.0.229 2009.01.20 -
BitDefender 7.2 2009.01.21 -
CAT-QuickHeal 10.00 2009.01.21 -
ClamAV 0.94.1 2009.01.20 -
Comodo 939 2009.01.20 -
DrWeb 4.44.0.09170 2009.01.21 -
eSafe 7.0.17.0 2009.01.20 Suspicious File
eTrust-Vet 31.6.6317 2009.01.20 -
F-Prot 4.4.4.56 2009.01.20 -
F-Secure 8.0.14470.0 2009.01.21 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.21 -
Ikarus T3.1.1.45.0 2009.01.21 -
K7AntiVirus 7.10.596 2009.01.20 -
Kaspersky 7.0.0.125 2009.01.21 -
McAfee 5501 2009.01.20 -
McAfee+Artemis 5501 2009.01.20 -
Microsoft 1.4205 2009.01.21 -
NOD32 3782 2009.01.21 -
Norman 5.93.01 2009.01.20 -
nProtect 2009.1.8.0 2009.01.21 -
Panda 9.5.1.2 2009.01.21 -
PCTools 4.4.2.0 2009.01.20 -
Prevx1 V2 2009.01.21 -
Rising 21.13.20.00 2009.01.21 -
SecureWeb-Gateway 6.7.6 2009.01.20 -
Sophos 4.37.0 2009.01.21 -
Sunbelt 3.2.1835.2 2009.01.16 -
TheHacker 6.3.1.5.224 2009.01.20 -
TrendMicro 8.700.0.1004 2009.01.21 -
VBA32 3.12.8.10 2009.01.19 suspected of Backdoor.XiaoBird.8 (paranoid heuristics)
ViRobot 2009.1.21.1570 2009.01.21 -
VirusBuster 4.5.11.0 2009.01.20 -

Posted by mstoned7

댓글을 달아 주세요

  1. 게토 2009.08.02 14:16  댓글주소  수정/삭제  댓글쓰기

    전 도대체 대한약사회가 왜 프로세스 이름을 저렇게 수상쩍게 만들었는지 이해를 못하겠군요 --

    안그래도 svchost.exe파일을 이용한 악성코드가 판을 치는 이 시점에서 진짜 다시 봐도 수상한 이름입니다.


VietKey2000 이라는 베트남어 관련 프로그램으로 베트남에서 문의가 들어왔다.

* 파일 정보

File size: 78848 bytes
MD5...: 84ad9adebd9fa8a2346b9f71d5d55605
SHA1..: bd7af32621f735bf12fe7b581c0a26d93d6a2125


현재 오진하고 있는 회사가 여럿있다. (2009.01.15 08:35:18 검사 결과)

----------------------------------------------------------------------------------

a-squared 4.0.0.73 2009.01.15 Virus.Win32.Agent.YIC!IK
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.14 SPR/Agent.EZ
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 Win32:Agent-YIC
AVG 8.0.0.229 2009.01.14 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.01.15 -
Comodo 931 2009.01.14 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.14 Suspicious File
eTrust-Vet 31.6.6308 2009.01.15 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 Win32:Agent-YIC
Ikarus T3.1.1.45.0 2009.01.15 Virus.Win32.Agent.YIC
K7AntiVirus 7.10.584 2009.01.09 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 Generic.dx
McAfee+Artemis 5495 2009.01.14 Generic.dx
Microsoft 1.4205 2009.01.15 -
NOD32 3767 2009.01.15 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 Generic Malware
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.15 Worm
Rising 21.12.30.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 Riskware.Agent.EZ
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.14.1559 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.14 -
Posted by mstoned7

댓글을 달아 주세요


외국 보안 프로그램인 퍼펙트 디펜더 2009 (Perfect Defender 2009)를 테스트해보니 정상 파일을 오진하지는 않았다.

이에 프로그램을 더 살펴보니 시그니처 파일이 무료 공개 백신인 ClamAV 것으로 보인다.



시그니처 파일인 DBBASE.DIV 내용



재주는 곰이 부르고 돈은 주인이 챙긴다더니.... 설마 정식 라이센스일까 ?
- 아. 그래도 껍데기는 만들었구나.



하지만, 배포 과정에 문제가 있는지 해외에서는 제거 방법에 대한 문의가 있었다.

Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2008.12.12 18:28 신고  댓글주소  수정/삭제  댓글쓰기

    쿨캣님의 글을 바탕으로 프로그램에 대해 좀 적어 보았습니다.^^

cpqsetver.exe 는 HP 에서 제작한 파일이다.

* 파일 정보

MD5 : a5e52c58c47e3233417a3816ff275607
파일길이 : 40,960 바이트

* 등록 정보

4.20.3.1
Hewlett-Packard CpqsetVer

---------

몇몇 제품에서 진단했다.

사용자 삽입 이미지


하지만, 수상한 코드를 찾을 수 없어 구글로 검색해봤다.

CpqsetVer.exe 로 검색하면 진단했던 Avira 에서 오진임을 밝히고 있다.

http://forum.avira.com/thread.php?postid=316513

하지만, 이건 2007년 얘기인데 왜 아직 진단할까했지만 VirusTotal의 검사 결과를 보면 2008년 1월 18일 결과였다.

다시 검사하니 진단되지 않았다.
(여전히 몇몇 제품은 진단하지만....)

VirusTotal 검사 결과가 예전 날짜이면 당당히(?) 재검사를 요청해보자.




Posted by mstoned7

댓글을 달아 주세요

  1. 처음처럼 2008.03.27 04:06  댓글주소  수정/삭제  댓글쓰기

    우연히 구글 검색하다가 쿨캣님 블로그까지 발견했네요..;;
    바제2 분들은 모르시려나 ㅎㅎㅎ
    종종 놀러오겠습니다 >_<;;
    내쫓지는 말아주시구~
    좋은 글 많이 올려주세요 ^ㅡ^//

  2. 다마 2008.03.28 19:50 신고  댓글주소  수정/삭제  댓글쓰기

    쿨캣님, 안녕하세요~ 바제2 다마입니다.
    처음처럼님에게 소문 듣고 찾아왔습니다.
    앞으로 자주 뵙겠습니다..^^

LucasArts 게임들
저도 좋아합니다.

중학생 시절 원숭이 섬의 비밀 엔딩을 보고 '이제 컴퓨터 끄고 자라'는 메시지를 보고 그렇게 했었죠.

루카스아츠의 게임 엔진을 구현해주는 프로그램인 scummvm 이 있습니다.
(http://www.scummvm.org/, 한국어 사이트 : http://scummkor.kldp.net/ )

게임 구성이 어떻게 되는지 모르겠지만 타사에서는 진단되는에 V3 에서 진단안되는다는 파일이 들어왔는데 제가 분석한 바로는 오진입니다.

배치 파일을 실행 파일로 만들어주는 Quick Batch File Compiler 로 제작되었는데 내용은 다음과 같습니다.

@echo off
scummvm -f -n maniac

-----------

@echo off
scummvm -f -n loomcd

매니악 맨션과 룸 CD 버전을 scummvm 으로 실행해 주는 파일입니다.

제가 보기에는 정상 파일이니 안심하고 사용하시기 바랍니다
(혹시 모르죠. 악의적인 코드를 숨겨 두었을지도....)

* MD5 값

65c55320d7c7cb52535a38454a51996c (147,022 bytes) - loom.exe
18126fd2c24e76c8ac28a7d055ade72b (147,030 bytes) - maniac.exe

사용자 삽입 이미지

LucasArts 게임 실행 파일 오진


Posted by mstoned7

댓글을 달아 주세요

  1. 2008.02.04 23:34  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다