원글 : https://kone.gg/s/somisoft/amN-r27AhkU8z_tXSdZj4b?p=2

요약

악성코드 없을 가능성이 큽니다.

UPX로 패킹된 HSP3(Hot Soup Processor) 엔진 게임으로 백신이 이 조합을 휴리스틱으로 오탐한 것으로 보입니다.

1. 정적 분석

1) 패킹 식별 & 언패킹

- PE 섹션이 UPX0 / UPX1로 전형적인 UPX 파일

- 클린 언팩 후 기드라로 분석

1

1

2) 엔진 식별

- 애플리케이션 매니페스트 --name="OnionSoftware.hsp3.exe"

1

3) 임포트(IAT) 분석

- 그래픽: BitBlt / StretchBlt / CreateDIBSection / GradientFill

- 이미지: OleLoadPicture / CoCreateInstance

- 오디오: mciSendStringA / sndPlaySoundA / timeGetTime

- 윈도우: RegisterClassA / CreateWindowExA / Peek / GetMessage / BeginPaint

- 그 외 MSVC CRT 표준 함수

- 네트워크, 인젝션, 암호화 등등 임포트 없음

4) 문자열 분석

- URL, IP 주소, 네트워크/인젝션 API, OS 명령 없음

- 인코딩 텍스트 없음

5) WinExec 호출

- WinExec 호출 지점은 단 1곳이며 ShellExecute도 동일 함수에 위치

- 디컴파일 결과 이 함수는 HSP의 exec 구현체

- 실행 대상은 스크립트가 넘긴 인자로 들어오고 모드 플래그에 따라 WinExec / ShellExecute로 분기

1

- HSP 명령 디스패처의 opcode 0x2로만 도달 가능

2. 동적 분석

1

샌드박스 실행결과

- 사이드로딩된 DLL 없음

- 네트워크 통신 없음

- 파일 생성 없음

결론

UPX 패킹으로 인한 휴리스틱 오탐으로 보임. 끝!