판도라판 kmp 설치자분들 잠시만봐주세요[수정]

중요한 정보 알려주셔서 감사합니다.

뭐 kmp 유저는 아니지만...위에 링크가...페이지 연결이 안 되는거 같은데요? 링크 확인 좀 부탁드립니다.

판도라 쓰는 사람이 많나요?

거의다 판도라 이전버전 아니면 팟플 쓰시는거 같던데..

판도라놈들 뻔해서 처음부터 쓰기가 껄쩍지근했으니까요.

제가 판도라판 KMPlayer (3.0.0.1442 R2) 설치해서 사용중인데.(아주 가끔 확인용으로만 사용 )

TtmetpD.dll 화일 제 컴엔 없는 화일로 나오는데..

혹 판도라판 KMPlayer 설치시 제휴프로그램 3~4개가 같이 설치되던데 제휴프로그램에 포함된것이 아닐런지. 전 제휴프로그램은 설치시 제외했거든요.

아니면 원 설치화일이 변조가 된것일수도...

전 처음에 3.0.0.1442 R2 나오자 마자 설치했서인지 악성코드, 변조된 화일이 아닌 원 화일인듯하네요.

3.0.0.1442 버전인데 저 파일 없슴

그리고

kmp 풀어봤더니 t로 시작하는 파일은 theora.dll 파일밖에 없슴

스폰서를 설치하시거나 아님 다른곳에서 감염된건 아닌지....

최신버전에서 저 파일 없는데요.ㅡㅡ;;

지금 현재...

한글 설치 파일

https://www.kmplayer.com/KMP/Download/KMPlayer_KR_3.0.0.1442_R2.exe

영문 설치 파일

https://cdn.kmplayer.com/KMP/Download/KMPlayer_EN_3.0.0.1442_R2.exe

둘 중에 한글 설치 파일이 관리자가 적어 놓은 checksum과 다릅니다.

한글 설치 파일을 짱깨가 해킹해서 바꿔치기 해놓은 것 같네요.

님이 링크한 한글 r2파일에도 없슴

근데 이거 님이 말한 해쉬값 틀린거하고 파일크기도 영자가 적은거랑 틀림

수상하긴 함 그리고...

아 나도 그말 하려했슴 파일 속성보면

1442 버전은 KMPlayer_KR_3.0.0.1442

1442 r2는 bind Microsoft 基???用程序 라고 되어있슴

그냥 1442 설치하면 됨 더 최신이니까....

괜히 글 적었다 맘 상하네 짧은 말에.

1442 버그 수정한 게 R2고, 인스톨러 안에 있는 KMPlayer 파일은 모두 정상이고, 악성코드는 인스톨러를 실행하는 순간 설치가 시도됨. 이해됨??? 괜히 압축 풀지 말고 실행을 시켜보기 바람.

맘 상하지 마시고 kmp홈엔 그냥 1442가 맨위에 있던데요? 

그밑에 1441 이니까 맨 위가 최신 아닌가요?...

몰라서 그리 얘기한게 아니고 bind란건 보통 파일을 합칠때 씀

악성코드랑 정상파일이랑 합칠때도 쓴단것도 알고...

그리고 파일크기도 각각 12.4m 12.9m로 먼가 합친거처럼 크단것도 알고있고요

네. 맘 상해서 죄송합니다.

1442 버그("재생이 정상적으로 종료 되지 않는 버그로 인하여 다시 수정하여 업로드 하였습니다. 다시 다운받아서 설치하시면 됩니다.")를 수정한 게 1442 R2 버전입니다.

네이버 자료실에서 그냥 kmp 1442 받아보시고 해쉬값 확인해보세요  

01499e9fe650cc8fa09f80238564ea6b *KMPlayer_KR_3.0.0.1442.exe

이 md5값 정확하게 나올겁니다...  r2란 말은 없는데 하여간 더 수상하군... 

아님 수정된 파일 올리면서 해쉬값은 수정 안했다?

잘 아시는 분 같은데 왜 저렇게 쓸데없는 걸로 피곤하게 하는지 모르겠네요.

https://www.kmplayer.com/KMP/Download/KMPlayer_KR_3.0.0.1442_R2.exe

https://www.kmplayer.com/KMP/Download/KMPlayer_KR_3.0.0.1442.exe

공식 홈페이지에 있는 설치 파일(위에 두 개)이 악성코드 심어져 있는 파일로 변조되었다. <- 이게 중요한 점

네이버 자료실이랑 뭔 상관입니까. 공식 홈페이지 파일 변조 됐다는데...

R2는 일반적인 버전 업이 아니라 그냥 kmplayer 개발자(isroot)가 치명적인 버그 수정하고 다시 올리면 인스톨러 파일 이름 뒤에 R2라고 붙여서 올립니다. 예전 버전도 그랬습니다. 그래서 R2라고 불렀습니다. 허락도 안 받고 마음대로 R2 버전이라고 불러서 죄송합니다?

말을 자꾸 심하게 오해하시네요

님 말이 틀렸다는게 아네요..왜 필요이상으로 발끈 하시죠?

네이버 자료실에 있는게 r2가 아닌 그냥 1442인데도 r2랑 해쉬값이 일치한단거죠

그럴 가능성은 적지만 개발자가 수정한 r2 파일 올리면서 해쉬값만 수정안했을 가능성도

없진 않다는거죠

아 머 같아서 댓글 달겠나요? 머 피해의식 절라 있으세요?...

잘 못알아들으시는거같아 다시 정리하면

단순 네이버 실수로 1442 r2인데 r2란 말을 빼먹었으면 님말씀 모두 맞아요

됐죠?

만약 네이버 실수가 아니고 그냥 1442을 1442라고 했으면

개발자가 누락했을 가능성도 전혀 없진 않다

왜냐면 1442랑 1442r2랑 해쉬값이 같을순 없고

kmp홈에 있는 r2해쉬값은 네이버 1442랑 일치하니까...

맞죠?...그럼 더 이상 태클이라 생각하는 댓글 안달죠

확실히 디도스바이러스가 맞는지

단순히 파일을 압축하고있거나 패킹되있어도

여러 백신에서 트로이잔같은걸로 오진합니다만

만약 전부 사실이면 업로더피시가 감염됐거나 홈페이지해킹일 가능성도있겠고

근데 실제로 네트워크이용률이 그대로거나 상주되지않는다면 그냥 오진일수도..

ps. 제가 9월 28일자로 공식홈페이지에서 받아놓은 KMPlayer_KR_3.0.0.1442_R2.exe에는

속성에 아무정보가 없네요 그런데 방금 위에링크(공식)로 받은파일은 중국어가뜨네요 좀 이상해서 그냥삭제..

확실히 거의 대부분백신에서 잡은거보면 오진이 아닌것같기도하고 kmp에서 중국어가 들어간걸 한번도 못보기도했고...원본파일명이 bine.EXE일리도 없고......kmp포럼은 관리도 안하는것같고 활동하는사람도 없으니

오랫동안 컴퓨터를 관리해왔는데 제 직감으로는 99% 감염이네요 bind라는게 뭐를 묶는 프로그램같은데 뭔가를 포함시켜서 하나로 묶은건 거의 확실시되네요 검색해본 바로는 후지쯔관련 프로그램아니면 비주얼베이직관련 툴인데 왜 영어가아니고 중국어인지가 의문.... 개발자가 인스톨러를 구성해놓고선 난데없이 패킹방식으로 끼워넣어 패치를 할이유가없죠...디지털서명도 없고... 패킹하고 아이콘만 먹인듯

결론적으로 9월달에 아무것도 패킹되어있지않던게 갑자기

지금받으니까 뭔지모르지만 이상한파일과 같이 패킹이되어있고

단순히 압축해제로는 안되고 언패커로 분석을 해야할듯한데 저는 능력이안되서....

체크섬볼것도없이 파일크기가 0.5메가나 더 큽니다 변조된게 체크섬은 당연히 안맞겠죠

우리나라 개발자가 중국어로된 비쥬얼 C++ 툴을 쓸일이있나요?

공식홈페이지 어느분이 올린글에 트위터링크된게 출처같네요....

https://twitter.com/#!/search?q=%23krsec

2gg Chae Jong Bin

(Cont'd) Installer: VT 0/43 (0.0%) https://www.virustotal.com/file-scan/report.html?id=5bb3245e3b3b6c78250f7d79387567cfc8404cc7f9fac242a987b4b398d8d5be-1322321032 Payload: VT 38/43 (88.4%) https://www.virustotal.com/file-scan/report.html?id=0ed261865eb54579837fc7fa2817783b38ce8045cd9a6efa60d634cc6f11e3b2-1322320811 #krsec

7시간 전

?

2gg Chae Jong Bin

[News] Korean version of the KMPlayer installer compromised by Chinese cra*ker. Payload is nbddos. (Cont'd) #krsec https://pic.twitter.com/N6CY8rjy

7시간 전

Boanbird 울지않는벌새

긴급 : 현재 KMPlayer 설치시 사용자 몰래 백도어가 설치되어 중국으로 연결이 이루어지고 있습니다. 해당 악성코드는 DDoS 공격을 시도합니다. https://j.mp/vpDW4v #krsec

저도 새벽부터 왠일인가 싶어서 확인을 해 봤는데요....(저도 얼마전부터 판도라 kmp버전 설치를 했구요. 참고로 kmp옵션에서 kmp 프로그램만 설치하고 그외 광고나 다른건 설치하지 않았습니다)

다운로드 되는 파일이 현재 2개가 있는데요,

위에 보듯이 파일 크기 값이 틀리게 나오구요....

첫번째 해시값은....

두번째 해시값은....

두번째 파일에 자세히쪽의 정보.....

홈페이지에서 2개를 다운로드 받을수 있는데요....

 위에 보시면 다운로드 링크가 2개가 있는데요....

첫번째 말고 두번째것을 다운로드 받으시면 중국어로 된 파일을 받으실수 있습니다.(현재 시간 기준으로.....삭제 되었을수도 있어요)

참고로 제가 설치한 버전도 공개해 드립니다...

지금 현재

https://www.kmplayer.com/KMP/Download/KMPlayer_KR_3.0.0.1442_R2.exe

파일이 감염된것으로 봅니다.

정상적인 한글판 R2는 아이콘이 없지도 않고 중국어가 써있지도 않습니다.

공식 홈페이지가 중국 해커로부터 해킹당한후 해커가 파일은 교체한것으로보입니다.

고로 영문판 릴리즈를 씁시다.

https://cdn.kmplayer.com/KMP/Download/KMPlayer_EN_3.0.0.1442_R2.exe

감염된 파일인지 아닌지는 디지털 서명을 확인해보시면 되고, 영문판 릴리즈에도 한국어가 포함되어있으니 차이없습니다.

오히려 스폰서 프로그램이 더 적게 들어가있지요.

위엣분들도 감염되었니 안되었니 하지마시고, 그냥 디지털서명 확인해보시면됩니다.

디지털 서명 정보 추가 합니다....