인기게임 '심시티' 를 불법으로 즐길 수 있는, 크랙(crack) 파일로 위장한 악성코드가 발견되어 주의가 필요하다. 해당 악성코드는 '토렌트' 를 통하여 국내, 해외의 불법 파일공유사이트를 통해 유포 중 이고, 인기게임을 공짜로 즐기기 위해 불법 다운로드 하는 유저를 대상으로 하여 빠르게 확산 중이다.
[그림 1] 한창 인기몰이중인 '심시티' 신작 게임
악성코드는 'SimCityCrake.exe' 와 'mscsvc.dll' 2개의 파일로 구성되어 있다. Simcitycrake.exe 를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe 로 복사 후에 아래와 같이 'Microsoft Windows System Service' 란 이름으로 서비스에 등록한다.
[그림 2] 서비스에 등록된 악성코드
mscsvc.dll 파일의 내부 코드를 살펴보면 IRC Bot 기능이 동작할 것을 예상 할 수 있다.
[그림 3] mscsvc.dll의 IRC 기능 코드
실제로 서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속 후, 지속적으로 명령을 전달 받는다. 아래와 같이 서버에 연결 시도중인 것이 확인된다.
[그림 4] C&C서버에 연결된 시스템
[그림 5] 일본에 위치한 C&C 서버
[그림 6] C&C서버와 통신 과정
V3 제품에서는 아래와 같이 진단이 가능하다.
Win-Trojan/Ircbot.108032
'악성코드 정보' 카테고리의 다른 글
| PUP(불필요한 프로그램)를 통한 온라인 게임핵 유포 (0) | 2013.04.18 |
|---|---|
| ‘3.20 사이버 테러’ 관련 일부 보도의 사실과 다른 부분을 바로잡고자 합니다. (0) | 2013.04.14 |
| 남미 은행을 타깃으로 한 봇넷 (0) | 2013.04.11 |
| 카드거래 내역 사칭 악성코드 주의보 (0) | 2013.04.01 |
| ‘3.20 APT공격’ 관련 고객정보보호 후속조치 (0) | 2013.03.26 |
댓글