본문 바로가기
IT 보안소식

여성 랩퍼 "이비아(E.Via)" 이름을 도용 한 "이비아 엔진" 해킹 프로그램 주의!!

by 잡다한 처리 2011. 3. 28.
반응형



여자 아웃사이더로 유명한 여성랩퍼 "이비아(E.Via, 이옥주)" 의 이름을 사용하는 해킹 프로그램이 블로그를 통해
유포 되고 있다.


유포 되고 있는 프로그램은 해킹 프로그램이기 보다는 "좀비PC를 만들기 위한 봇넷 클라이언트 설치 파일" 이라고
보는게 맞는거 같다.

또한 설치파일은 "이비아 엔진" 이라는 프로그램명으로 불리우며, 넥슨의 온라인 게임인 메이플스토리 게임 핵으로써
기존에도 계속 이용되고 있었던 프로그램이다. 다만 이름이 이비아엔진으로 바뀐 것으로 판단된다.

이비아 엔진 프로그램은 네이버 블로그의 첨부 파일을 통해 유포되고 있으며, 발견당시에는 아래 그림과 같이 첨부파일이 
추가되어 있지만, 금일 확인 결과 첨부파일은 삭제 된 것으로 확인된다.



블로그에서 첨부파일은 압축형식으로 되어 있으며, 다음과 같이 다운로드 된다.



다운로드 된 파일을 압축해제하면 다음과 같이 구성되어 있다.
그 중 악성파일은 Ev27MS.exe 파일이다.


파일을 동작시키면 다음과 같이 정상적인 이비아 엔진 프로그램이 실행되며, 백그라운드로 봇넷 프로그램이 실행되어
설치된다.


Ev27MS.exe 파일에서 생성 된 파일 다음과 같다.

C:\WINDOWS\system32\bit.dll (악성)
C:\Documents and Settings\[UserName]\Local Settings\Temp\server.exe (악성)
C:\Documents and Settings\[UserName]\Local Settings\Temp\Ev27MS.exe (정상)

bit.dll 파일은 정상적인 svchost.exe 프로세스에 인젝션되어 특정 서버(116.122.189.62:8000)로 접속을 시도한다.



드롭 된 정상적인 이비아 엔진의 프로그램 화면이다.


현재 알약에서는 다운로드 된 파일, 드롭되는 파일, 생성되는 파일 모두 탐지 중 이다^^


이런 게임 핵 프로그램은 온라인게임을 하면서 한번씩은 찾아보고 실행 시켜 보았을 것이다.

이런 핵 프로그램을 찾지 말라고 해도 말을 안들을 거니까~ 최소한 이럼 프로그램을 다운로드 받으면 백신으로
검사만이라도 한번씩 해보시길 바란다.

검사도 귀찮다면 ㅡ.ㅡ; 실시간이라도!! 꼭!! 활성화 시켜두길 바란다.

댓글