'분석가 실수'에 해당되는 글 1건

  1. 2014.07.27 새로운 백도어 ?! 하지만 정체는... (2)

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠.


뭔가 이상한 샘플이 눈에 띄었습니다.

 

Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다.





변형을 검색해보니 6개나 있더군요.


그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다.




요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝...


IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다.


이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.

문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요.



악성코드에서 웬 다이렉트 X를... ?!


몇가지 정황에서 이건 게임과 관련된게 아닐까하는 의심이 들었습니다.


인터넷 검색을 통해 DayZ라는 게임이 있네요. (....)




뭔가 새로운 악성코드라고 생각했는데 게임 봇이었다니…

약간의 허털감...



어릴 때부터 컴퓨터를 해왔고 게임을 즐겨 했지만 나이가 들면서 게임 할 시간이 없고 요즘 게임은 거의 하지 못해 게임을 잘몰라서 발생한 일입니다.

특히 악성코드와 게임 오토 프로그램 용어가 유사 (Hack, bot, zombie, Troyan ....)하고 입력 부분을 가로채는 기능 등이 존재해 발생하는 헤프닝이기도 합니다.



결론은 악성코드 분석가들이여 게임을 하자 !

(좀.. 이상하네요 ㅋ)




Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.07.28 14:58  댓글주소  수정/삭제  댓글쓰기

    그래서 제가 보안을 더 잘하기 위해 최신 게임의 트렌드를 파악하고 있죠~!(라고 자기 합리화 중)