본문으로 바로가기

요즘은 한 달에 1만원도 안되는 돈으로 무제한 스트리밍 서비스를 이용해 음악을 들을 수 있다. 하지만 시급 8천원도 안되는 최저시급을 받으며 일하는 수 많은 청년들에게는 한 달 1만원은 부담이 되는 돈이기도 하다.  게다가 와이파이가 안되는 곳에서 스트리밍 음악을 듣기 위해서는 엄청난 데이터 요금까지도 감수해야 하지 않는가...  그래서 많은 사람들은 아직도 여러 방법을 이용해 최신곡 MP3 파일을 불법 다운로드 받아 듣곤 한다.


그 와중에 누군가 MP3를 다운받았는데 컴퓨터가 이상해졌다는 이야기를 듣고 테스트를 해봤다. 


다음은 다운로드 사이트다. torrent 파일을 다운로드 받거나 마그넷 문자열을 복사한 뒤 뒤 토렌트 머신을 가동해서 다운로드 받을 수 있다.


멜론 최신곡 모음 다운로드 페이지멜론 최신곡 모음 다운로드 페이지



먼저 인터넷에서 다운로드 받은 zip 파일을 압축 해제하면 MP3 파일만 담긴 새로운 zip 파일과 몇개의 파일의 압축이 풀린다.


비밀번호가 걸린 zip 파일과 암호확인 프로그램비밀번호가 걸린 zip 파일과 암호확인 프로그램



음... 느낌이 온다. 이 MP3 파일을 배포하는 사람이 누구인지는 모르겠지만 실제 MP3 파일들은 비밀번호가 걸린 zip 파일로 압축을 하고 비밀번호를 확인하기 위해서는 "암호확인.exe"라는 파일을 실행하도록 만들어 두었다. 그리고 이 "암호확인.exe"는 VisualBasic으로 코딩한 모양이다. VisualBasic 런타임 파일도 함께 배포한다. 

음...뭐 의도대로 "암호확인.exe"를 VB_런타임_오류해결.exe를 실행해 일부 OCX 파일을 설치하고 "암호확인.exe"까지 실행해봤다.


이런 프로그램이 실행된다. 그런데 실행 후 시간이 좀 오래걸린다. 뭔가를 하는 모양인데... 잠시 후 비밀번호를 보여주긴 한다.


압축 파일의 비밀번호를 보여준다.압축 파일의 비밀번호를 보여준다.



일단 창을 닫으려 했는데 계속 "로딩하는데 시간이 걸린다"는 메시지를 보여주면서 한참을 종료되지 않는다. 한참만에 강제로 종료할 수 있었다. 과연 이 프로그램은 그동안 무슨짓을 했을까...


잠시 후 확인해보기로 하고 실제 멜론 top 100 파일의 압축을 풀어봤다. MP3 파일이 없기만 해봐라....


비밀번호를 물어본다. 그런데 효주만 눈에 들어온다.비밀번호를 물어본다. 그런데 효주만 눈에 들어온다.



그리고 압축을 해제하기 위해서는 비밀번호가 필요했다. 비밀번호를 물어보기에 알려준 대로 "zzzz2222"를 입력해 봤다. 그랬더니 실제로 최신 MP3 파일 100개가 풀렸다. 뭐 사기는 아닌 듯 했다.


그리고 컴을 리부팅 했는데....


역시 제보자의 말대로 컴이 느려졌다. 작업관리자에서 프로세스를 확인해보니 내가 실행시키지 않은 vistor.exe 라는 프로세스를 비롯해 여러개의 의심스런 프로세스들이 보였다. 게다가 netstat -ano 명령으로 tcp 세션과 프로세를 대조해보니 역시나 의심스런 세션들이 잔뜩 보였다. 


그리고 visitor.exe는 Windows가 부팅될 때 자동으로 실행되도록 레지스트리에 등록되어 있었다.


암호확인 프로그램이 등록한 자동실행 레지스트리암호확인 프로그램이 등록한 자동실행 레지스트리



음....어느새 C:\system99 라는 폴더까지 만들었다. 나쁜노무스키.....

Windows가 부팅될 때 start.bat를 실행하고 start.bat가 c:\system99\visitor.exe를 실행하는 방식이었다.


작업관리자에서 서비스 탭으로 넘어가 vistor.exe를 실행시킨 서비스를 중지시키고 의심스런 프로세스도 모두 중지시킨 다음 C:\system99 폴더를 그냥 싹...삭제해버렸다. 그리고 위 화면의 레지스트리에서 start.bat를 실행시키는 MyRAT 항목 또한 삭제하였다.


그런다음 컴을 리부팅하니 문제가 사라졌다.

얼마나 많은 사람들이 최신 MP3 파일을 다운로드 받기 위해 이 악성프로그램을 실행시켰을까... 그리고 지금도 그 사실을 모르고 있지 않을까??


혹시라도 이런 파일을 실행한 사람이 이 글을 본다면 빨리... 이 프로그램을 중지시키고 삭제하기 바란다.




댓글을 달아 주세요