볼랜드포럼: 델파이로 만든 트로이목마가 급속도로 퍼지고 있다네요..

	C++Builder \| Delphi \| FireMonkey \| C/C++ \| Free Pascal \| Firebird

경고! 게시물 작성자의 사전 허락없는 메일주소 추출행위 절대 금지

분야별 포럼

볼랜드포럼 홈

회원 메뉴

자유게시판		세상 살아가는 이야기들을 나누는 사랑방입니다.

[13359] 델파이로 만든 트로이목마가 급속도로 퍼지고 있다네요..
[cbuilder]	3180 읽음 2007-09-15 07:49

포럼 초기 페이지 옆에 올려놓은 안연구소의 바이러스 소식 패널에서 긴급경보 표시가 떴길래,
그냥 무심결에 클릭해서 자세한 내용을 봤더니...
...
Win-Trojan/Eldo.10240는 실행 압축되어 있으며 볼란드 델파이로 제작되었다.
...

델파이도 C/C++과 동일한 시스템 접근성을 가진 네이티브 언어니까 바이러스를 만들 수 있는 건 넘 당근하고,
실제로도 지금까지 델파이로 만든 바이러스 종류도 한두가지가 아니었지만..

이 분석 자료를 쓴 사람 입장에선 심각한 트로이목마가 델파이로 만들어졌다는 게 신기했나봅니다.
제 기억으론, 다른 바이러스나 트로이목마 등의 분석 자료에서 "무슨 언어로 만들어졌다"라는 코멘트를 적어놓은 경우는 별로 본 적이 없었거든요. ^^

Trackback : http://www.borlandforum.com/impboard/impboard.dll/trackback?sn=98726

[peperu] 2007-09-15 08:41 X

안연구소에선 비졀씨 쓰거든요...

[cppbuilder] 2007-09-15 12:39 X

델파이로는 바이러스 만드는게 무척 힘든데 조금 독특한 사례군요.
아마도 델파이 언어 속에 주요 구현을 어셈블리로 만들지 않았나 생각됩니다.

바이러스에 관한 자료를 예전에 수집해 본 일 있는데
C 로 되어 있지 않는 경우는 거의 없더군요.
비베로 되어 있다고 하는 건 장난 수준이고 그외 다른 언어의 코드는
OS 속에 들어와 모르게 동작하는 그런 수준이 아니더군요.

TohnoLyn [tohnokanna] 2007-09-15 13:23 X

C만으로도 바이러스 만들기는 힘들 것 같더라구요 ㅡㅡㅋ

어셈블리 동원해야지

[bkyang] 2007-09-17 11:02 X

Windows 폴더 안에 (System32가 아닌..) winhelp.exe라는 실행파일이 있습니다. 원래 winhelp.exe는 Win3.1이전부터 있던 16비트용 도움말 프로그램인데(도움말이 16비트라는게 아니라 프로그램이 16비트 NE포맷..)

그 바이러스 파일명이 winhelp.exe입니다. 기존 winhelp.exe도 존재하면서 바이러스 winhelp.exe가 하나 더 있습니다.(같은 EXE명이 두개..아이콘이 다릅니다. 노란 물음표 모양이 진짜고 동그란 아이콘이 바이러습니다.)

제 경험상 그것은 바이러스가 걸린 USB드라이브를 통해서 들어오는데 USB드라이브에 autorun.inf가 만들어져 있고 USB드라이브안에 휴지통 폴더도 만들어져 있습니다. 바이러스 EXE가 휴지통안에 들어있는데 autofun.inf에서 그 휴지통안에 있는 EXE를 실행시킵니다. 그런데 그 휴지통은 진짜휴지통은 아니고 아이콘과 폴더명만 휴지통입니다.

그러므로 일단 자신이 가지고 있는 USB드라이브 꽂아서 autorun.inf찾아서 지우고 휴지통 폴더 지우고.. (시스템속성이므로.... 탐색기->도구->폴더옵션->보기 탭->보호된 운영 체제 파일 숨기기 항목을 체크해제해야 autofun.inf 파일과 휴지통 폴더가 보입니다. 그 쉐이 연구 많이 했다...쓰8 이딴짓이나하고..)

작업관리자 열어서 winhelp.exe가 떠있으면 죽인 다음에...

Windows안에 winhelp.exe가 기존것과 함께 하나 더 있는지 봐서 찾아서 지우고(아이콘이 다릅니다. 노란 물음표 모양이 진짜고 동그란 아이콘이 바이러습니다.)

그러면 괜찮은것 같습니다.

중요한 점은 주위에 동료들 USB드라이브도 몽땅 꺼내서 다 찾아서 지우고 바이러스 winhelp.exe도 지워야겠죠... 실행중인 바이러스 winhelp.exe가 USB드라이브를 꽂으면 그 드라이브에 파일들을 만들어내는것 같습니다.

앞서 말한것처럼 autorun.inf와 휴지통폴더는 시스템 속성이므로그냥은 안보입니다. 위에서 말한 보호된 운영 체제 파일 숨기기 항목을 체크해제해야 보입니다. 그걸 안하고 바이러스가 걸린 USB인지 알아보려면....

바이러스가 걸린 USB드라이브를 꽂아서 탐색기에서 해당 드라이브를 더블클릭하면 그 드라이브가 열리지 않고... 그 드라이브의 팝업메뉴를 띄워보면 메뉴에 깨진 문자가 있습니다. 그러면 바이러스가 들어있는 USB드라이브입니다.(아마도 made in china인듯...)

쩝... 좀 다른 얘기지만.. 이 정도면 어셈플리까지는 필요없지요.. 머.. 거의 초보수준이라고 해도되는데...왜 하라는 일은 안하고 이딴거나 만드는지 원...암튼 쩝입니다. 쩝쩝...

아.. 참고로 원래 winhelp.exe는 앞서 말한것처럼 16비트인데... 바이러스 winhelp.exe는 32비트입니다. 아~~~쩝쩝...

(머.. 델파이 홍보 된다고 봐야하나? --a 알쏭~달쏭.. )

김도완 [purplecofe2] 2007-09-18 22:15 X

흠. 안타까운 부분이죠.
좋지 않은 곳에 자주 쓰이는게 보이니 말이죠.
중국쪽에도 상당한 유저가 생겨나서 그 여파로 국내 유저가 늘어나기도 하는 것 같습니다.
게임을 해킹하는 cheat engine이라는게 있는데 이게 몽땅 델파이로 맹글어져 있죠.
(아 일부는 DDK군요)
모 게임 애드온사와 전쟁 중인걸 보면 재미있기도 하는데 당사자들로서는 속이 탈겁니다. -_-;
얼마전에는 델마당에 USB 관련 라이브러리 내용을 답달았는데 얼마 지나지 않아 USB 드라이버 게임핵 판매 광고가 등장해서 개인적으로 내가 괜히 알린게 아닌가 생각이 들기도 했습니다. 앞으로는 문제가 될만한 라이브러리는 알리지 않아야 겠다는 생각이 들었답니다. 좋은 예제들인데 악용을 먼저 생각하니 참 암담하네요.