5545
9
0
안녕하세요 은송입니다.
작성자: 은송
작성일: 2022년 3월 27일 오후 10시 9분

안녕하세요 은송입니다.

2022.03.14일경 맑x님에게 원격을 받았습니다. 


검거 당시 BD1540.tmp 파일이 의심이 되므로 피x라는 핵으로 검거를 당한 상황입니다.

지인을 통해서 료카님께 파일 해명을 의뢰드렸습니다.

컴퓨터는 중고로 2022-01-09 구매 하였습니다.

BD1540.tmp 파일은 트로잔 멀웨어에서 확인 해본 결과 트로잔 바이러스로 나오고 스크린샷에서 볼 수 있듯이 기존 확장자 명은 .dll 이였고 이것이 원격이 들어오면서 스스로 파일명을 .tmp 파일로 위장하였다고 볼 수 있습니다.


그래서 BD1540.tmp 파일의 근원은 Launcher.exe (SA_Launcher_MAL.exe) 로 볼 수 있습니다. 그 근거로는 위 아래 스크린샷 보시면 같은 트로잔 바이러스가 검출 되었습니다.

그래서 서든어택 폴더에 들어있던 SA_Launcher_MAL.exe 라는 파일이 무엇이냐?

(서든어택 파일안 Launcher.exe)

(Launcher.exe 프로그램 실행)

(Launcher.exe 속성)


Launcher.exe 실행 결과 본인 ip , 접속포트 , id , 나이 , 맵 을 선택하도록 구성되어있으며 ip와 포트를 이용하여 맵을 선택하는 종류라면 패킷을 이용해 111 서버 같은 꽉 차 있는 서버 채널을 뚫는 용도로 위장된 악성파일 또는 서버파일 곧 이파일의 요약점은 사용자의 키보드 로그를 강탈해서 해킹을 시도 하는 키로깅 프로그램의 일종으로 추측을 해볼 수 있습니다.

그리고 파일 속성을 보면 마지막 수정 날짜는 2019-06-05 오전 11:46 이고 파일의 원래 이름은 SA_Launcher_MAL.exe 로 알 수 있습니다.

(그래서 이파일의 연관성은 어떻게 지을 수 있냐? 라고 물으시는분 들은 위에 트로잔 멀웨어 스크린샷 을 보시면 같은 트로잔 바이러스 검출로 알 수 있습니다.)


그렇다면 원격 당시 BD1540.tmp 파일이 왜 생성 되었느냐?

이 파일 또한 해커의 서버에 강제로 연결 되어있는 상태일 것이고 원격 당시에 다른 연결이 들어오니 프로그래밍의 여하에 따라 본인 스스로의 기록을 지우거나 tmp파일 즉 덤프 찌꺼기 파일로 위장 할 수 있습니다.

하여 원격 당시의 tmp 파일이 이상하다는 근거만 가지고는 제가 핵을 사용했다는 증거라 보긴 어려울 것 같다는 료카님의 의견입니다.

또, BD1540.tmp 파일이 핵 파일이였다면 트로잔 멀웨어 분석 결과 값에서 .exe 파일확장자로 나와야 하지만 .dll 파일이 기존 확장자를 가지고 있으며 tmp 파일로 위장 되었다 라는 것을 알 수 있고 dll 파일 혼자서는 아무것도 할 수 없습니다.


+결론+

Launcher.exe (SA_Launcher_MAL.exe) 라는 프로그램이 발견 그 후 원격 진행중 BD1540.tmp 파일이 생성 이 파일을 분석해본 결과 기존 dll 파일 확장자명을 가지고 있으며 만약 핵 파일이라고 할 수 있다면 기존 확장자명을 .exe 확장자를 가지고 있어야합니다. 그러므로 BD1540.tmp 파일을 핵 파일이라고 단정 짓기는 힘들고 , Launcher.exe (SA_Launcher_MAL.exe) 이 만약 핵 프로그램이라고 가정 하였다면 수정된 날짜가 위에서 볼 수 있듯이 19년도로 현 시점으로 3년이 지난 시점에 구동이 불가능하고 실행 기록 조차 없을 뿐더러 컴퓨터 구입 시기 전 상황입니다.

그러므로 tmp 파일이 하나 나왔다고 하여도 이것이 핵을 사용하였다는 증거가 될 수는 없다 라는 료카님의 입장입니다.


긴 글 읽어주셔서 감사합니다. 이상 은송이였습니다.

댓글 27개
후대디-616
4년 전
대댓글

확실한 내용으로 보아하니 거를 타선이없네 복귀를 명합니다.

0
1
댕난암-964
4년 전
대댓글

저게 검거라는 맑음이도 ; 개억지네

0
0
미간킥-495
4년 전
대댓글

뭔말이고 ㅅㅍ

0
0
즈생르-73
4년 전
대댓글

네 업장님

0
0
금저도-895
4년 전
대댓글

하나 말하지만 료카 또한 핵쟁인데 결국 피로에서도 저걸  위치안바꾼거. ㅂㅇ

0
1
새쿠압-295
4년 전
대댓글

억울할만하네 ㅋㅋㅋ

0
0
칠탄캅-139
4년 전
대댓글

걍 맑음이 어이없이 검거때린거네

0
0
챙흠츠-445
4년 전
대댓글

주작댓글 봐라 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

검거 당할떄만 해도 아무말 못하고 디코 나가더만

이제와서? ㅋㅋ

1
1
작성자(은송)
4년 전

원격 끝날 당시에 저는 자리에 없었습니다.

0
1
안답듬-972
4년 전
대댓글

님 걍 컴터 꺼달라했잖요 ㅋㅋ

1
0
작성자(은송)
4년 전

제가 친구한테 원격끝나면 컴퓨터좀 꺼달라고 말해달라고 부탁한건 맞지만 분명 원격이 끝난 후에 이상이없으면 컴퓨터를 꺼달라고 했고 컴퓨터 계속 켜져있었습니다.

0
1
긱으탄-782
4년 전
대댓글

맑음 엄뒤

0
0
칠너낭-633
4년 전
대댓글

몇년전에 핵걸렸었고 오버워치인가 배틀그라운드 종합핵있었던건 왜 작성안하시죠??

2
0
소므게-930
4년 전
대댓글

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

0
0
사푸함-282
4년 전
대댓글

해명잘햇는데 댓글억까 존내심하네 

0
1
댓글쓰기
© 2016-2026 3RD.SUPPLY
Terms of Service | 문의 : 3rdsupply@naver.com