학회소식

학회동정

Home > 학회소식 > 학회동정
학회동정

보안제품에 대한 도박 사이트의 공지

페이지 정보

작성자 HELLO 날짜24-11-08 17:22 조회3회 댓글0건

본문

국내 보안 강한 바카라사이트 웹사이트 게시판이나 블로그 등 글을 적을 수 있는 곳이면 수단과 방법을 가리지 않고 스팸처럼 광고하는 도박 사이트들이 있습니다.


해당 도박 사이트는 [라이브 바카라(Live Baccarat)]라는 이름을 걸고 국내 이용자를 모집하여 돈벌이를 하고 있는 것으로 보입니다.
실제 도박에 빠진 사람들로 인해 알게 모르게 해외로 돈이 빠져 나가고 있으리라 보여집니다.
해당 도박 사이트의 메인에 보면 재미있는 공지글이 하나 있습니다.


해당 공지글은 보안 강한 바카라사이트 제 기억에는 올해 초봄 정도에 작성된 것으로 기억합니다.
제가 확인한 해당 도박 사이트에서 유포하는 도박 프로그램 다운로드 파일을 안철수연구소의 스파이제로에서 진단하는 것을 확인한 적이 있었습니다.
현재에는 다른 변종 다운로드가 유포되고 있고, 안랩에서 진단하지 않는 것도 많은 것으로 보입니다.


실제 해당 사이트에서 제공하는 도박 프로그램을 다운로드해 보았습니다.
파일 용량을 보시면 아시겠지만 78.1KB의 용량입니다. 타 도박 사이트에서 제공하는 일반적인 도박 보안 강한 바카라사이트 프로그램이 기본 20MB를 넘는 것을 고려한다면 해당 파일을 실행하면 추가적으로 인터넷을 통해 특정 서버에서 도박 프로그램을 다운로드하는 일종의 드랍퍼로 보입니다.


실제 해당 파일은 다운로드하여 살펴보면 WinRAR를 이용하여 다시 한 번의 압축을 하여 보안 제품의 실시간 감시에서 1차적으로 우회하려는 모습도 보입니다.


해당 압축을 풀어보면 2개의 파일이 나옵니다.
기본적으로 해당 광고 사이트의 도메인은 cn 주소를 이용한 중국 서버임을 알 보안 강한 바카라사이트 수 있으며, 해당 파일의 다운로드 IP 역시 중국 서버임을 확인할 수 있습니다.


config.ini 파일을 열어보면 god of war 라는 이름으로 특정 도메인을 제공하고 있습니다. 해당 도메인은 현재 국내 IP를 가지고 있으며 접속은 차단된 상태입니다.
이것을 미루어보아서는 중국과 한국 내에서 조직적으로 해당 도박 사이트를 운영하고 있지 않을까도 생각됩니다.


실제 제가 확인한 동일 도박 사이트에서 유포되는 각종 변종 다운로드 보안 강한 바카라사이트 파일을 보시면 정확하게 어떤 이유인지는 모르지만, 꾸준히 사이트 차단이나 보안 제품 우회를 위해 변경을 하고 있는 것을 확인할 수 있습니다.

[ONSang_1.exe]





Antivirus
Version
Last Update
Result

AhnLab-V3
2008.5.30.1
2008.06.10
-

AntiVir
7.8.0.55
2008.06.10
-

Authentium
5.1.0.4
2008.06.10
-

Avast
4.8.1195.0
2008.06.10
-

AVG
7.5.0.516
2008.06.10
-

BitDefender
7.2
2008.06.10
-

CAT-QuickHeal
9.50
2008.06.09
-

ClamAV
0.92.1
2008.06.10
-

DrWeb
4.44.0.09170
2008.06.10
BackDoor.Ceshi

eSafe
7.0.15.0
2008.06.09
-

eTrust-Vet
31.6.5862
2008.06.10
-

Ewido
4.0
2008.06.10
-

F-Prot
4.4.4.56
2008.06.10
-

F-Secure
6.70.13260.0
2008.06.10
-

Fortinet
3.14.0.0
2008.06.10
-

GData
2.0.7306.1023
2008.06.10
-

Ikarus
T3.1.1.26.0
2008.06.10
Backdoor.Ceshi

Kaspersky
7.0.0.125
2008.06.10
-

McAfee
5313
2008.06.09
-

Microsoft
None
2008.06.10
-

NOD32v2
3172
2008.06.10
-

Norman
5.80.02
2008.06.09
-

Panda
9.0.0.4
2008.06.09
-

Prevx1
V2
2008.06.10
-

Rising
20.48.12.00
2008.06.10
-

Sophos
4.30.0
2008.06.10
-

Sunbelt
3.0.1145.1
2008.06.05
-

Symantec
10
2008.06.10
-

TheHacker
6.2.92.341
2008.06.10
-

VBA32
3.12.6.7
2008.06.10
BackDoor.Ceshi

VirusBuster
4.3.26:9
2008.06.09
-

Webwasher-Gateway
6.6.2
2008.06.10
-



Additional information

File size: 40960 bytes

MD5...: f87652837c4c0386b365308abf5708be
[ONSang_2.exe]




Antivirus
Version
Last Update
Result

AhnLab-V3
2008.5.30.1
2008.06.10
-

AntiVir
7.8.0.55
2008.06.10
-

Authentium
5.1.0.4
2008.06.10
-

Avast
4.8.1195.0
2008.06.10
Win32:Trojan-gen {Other}

AVG
7.5.0.516
2008.06.10
-

BitDefender
7.2
2008.06.10
-

CAT-QuickHeal
9.50
2008.06.09
-

ClamAV
0.92.1
2008.06.10
-

DrWeb
4.44.0.09170
2008.06.10
BackDoor.Ceshi

eSafe
7.0.15.0
2008.06.09
suspicious Trojan/Worm

eTrust-Vet
31.6.5862
2008.06.10
-

Ewido
4.0
2008.06.10
-

F-Prot
4.4.4.56
2008.06.10
W32/Backdoor.D.gen!Eldorado

F-Secure
6.70.13260.0
2008.06.10
-

Fortinet
3.14.0.0
2008.06.10
-

GData
2.0.7306.1023
2008.06.10
Win32:Trojan-gen

Ikarus
T3.1.1.26.0
2008.06.10
-

Kaspersky
7.0.0.125
2008.06.10
-

McAfee
5313
2008.06.09
-

Microsoft
None
2008.06.10
-

NOD32v2
3172
2008.06.10
-

Norman
5.80.02
2008.06.09
-

Panda
9.0.0.4
2008.06.09
Suspicious file

Prevx1
V2
2008.06.10
-

Rising
20.48.12.00
2008.06.10
-

Sophos
4.30.0
2008.06.10
-

Sunbelt
3.0.1145.1
2008.06.05
-

Symantec
10
2008.06.10
-

TheHacker
6.2.92.341
2008.06.10
-

VBA32
3.12.6.7
2008.06.10
BackDoor.Ceshi

VirusBuster
4.3.26:9
2008.06.09
-

Webwasher-Gateway
6.6.2
2008.06.10
-



Additional information

File size: 15360 bytes

MD5...: 214c8bfff9b9cf8d24260ea67c7157ad
현재 진단을 보면 대부분의 보안제품에서 진단을 하지 않고 있지만, 이전 기억에 의하면 Kaspersky 제품에서는 해당 다운로드 변종 일부를 Backdoor류로 보안 강한 바카라사이트 진단하는 것을 확인하였습니다.

저들이 말하는 보안제품이 단순히 자신들의 도박성에 근거하여 제품을 차단한다고 주장하지만, 실제 보안제품이 그렇게 할 일 없이 도박 프로그램이라는 이유만으로 진단하는 바보같은 짓은 절대로 하지 않는다는 것입니다.
실제 해당 파일을 분석해 보면 다음과 같은 점을 발견할 수 있습니다.

1. 특정 Port 오픈
Port - 1038 / Protocol - UDP
2. 원격 호스트 호출

Host - xxx.cn / 보안 강한 바카라사이트 Port - 1034

단순하게 해당 파일이 도박 프로그램만을 다운로드하는지 추가적으로 원격 백도어를 심는지는 네트워크 전문가 등 보안 전문가 분들이 잘 아실겁니다.
특히 해당 원격 호스트 서버에 접속해 보면 중국의 특정 블로그와 연결이 됩니다.


해당 블로그에서는 한국어로 된 음악이 배경으로 흘러나올 정도로 상당히 한국의 문화에 익숙해 보입니다.
국내에서는 허가받지 않은 돈놀이은 도박으로 처벌을 받는 국가이고, 도박 같이 중독성이 보안 강한 바카라사이트 강한 것에 빠지면 나중에 정신을 차렸을 때에는 이미 엎질러진 물입니다.
특히 이번과 같이 백도어가 설치될 위험성이 있는 경우에는 해당 도박 프로그램을 제공하는 측으로부터 실컷 당하기만 할 뿐임을 명심해야 합니다.
최근 언론에서는 한게임 등 잘 통제되는 듯이 내세운 게임으로도 억소리 나올 정도로 피해를 입는 현실에서 국가 차원에서 조금 더 저런 류(한게임도 포함~^^;;)의 도박 광고에 대해 빠른 대처가 보안 강한 바카라사이트 필요하다고 생각합니다.

댓글목록

등록된 댓글이 없습니다.