원글 : https://kone.gg/s/somisoft/amN-r27AhkU8z_tXSdZj4b?p=2
요약
악성코드 없을 가능성이 큽니다.
UPX로 패킹된 HSP3(Hot Soup Processor) 엔진 게임으로 백신이 이 조합을 휴리스틱으로 오탐한 것으로 보입니다.
1. 정적 분석
1) 패킹 식별 & 언패킹
- PE 섹션이 UPX0 / UPX1로 전형적인 UPX 파일
- 클린 언팩 후 기드라로 분석
2) 엔진 식별
- 애플리케이션 매니페스트 --name="OnionSoftware.hsp3.exe"
3) 임포트(IAT) 분석
- 그래픽: BitBlt / StretchBlt / CreateDIBSection / GradientFill
- 이미지: OleLoadPicture / CoCreateInstance
- 오디오: mciSendStringA / sndPlaySoundA / timeGetTime
- 윈도우: RegisterClassA / CreateWindowExA / Peek / GetMessage / BeginPaint
- 그 외 MSVC CRT 표준 함수
- 네트워크, 인젝션, 암호화 등등 임포트 없음
4) 문자열 분석
- URL, IP 주소, 네트워크/인젝션 API, OS 명령 없음
- 인코딩 텍스트 없음
5) WinExec 호출
- WinExec 호출 지점은 단 1곳이며 ShellExecute도 동일 함수에 위치
- 디컴파일 결과 이 함수는 HSP의 exec 구현체
- 실행 대상은 스크립트가 넘긴 인자로 들어오고 모드 플래그에 따라 WinExec / ShellExecute로 분기
- HSP 명령 디스패처의 opcode 0x2로만 도달 가능
2. 동적 분석
샌드박스 실행결과
- 사이드로딩된 DLL 없음
- 네트워크 통신 없음
- 파일 생성 없음
결론
UPX 패킹으로 인한 휴리스틱 오탐으로 보임. 끝!
s/somisoft
• 150,628명 구독중- 1. 게시물 규정 양식
업로드 시 링크 암호화 & 필수 정보를 기입할 것
- 2. 질문
국룰, 암호화 링크 등 기본사항 질문 금지, 탭 미준수시 차단 및 삭제
- 3. 요청
요청 기준 및 양식 미준수 & 댓글로만 자료 복구 요청 시 차단
- 4. 미성년자 / 근첩 / 페미 / 다중계정
조금이라도 의심되면 선 차단, 후 해명
- 5. 좆목 / 네임드화
닉언, 네임드화 등 친목질 금지
- 6. 분탕 및 어그로 / 혐짤 / 낚시 / 뇌절
해당 카테고리의 차단 기간 및 가중처벌은 처리자 재량으로 판단
- 7. 홍보 / 판촉 / 거래
허용되지 않은 모든 형태의 홍보, 거래, 교환, 조건부 공유 시 차단
- 8. 쌀먹 / 바이러스
조건부 공유 & 수익성 링크 & 고의적인 바이러스 유포 시 갱신차단
- 9. 자료 분류 / AI
미검수 시 표기 필수, 생성형 AI를 사용한 자료의 제목에 AI 미기입 시 차단
- 10. 실사 / 토들러
업로드시 갱신 차단
- 11. 기타 세부 규정은 서브 공지사항 참고