본문 바로가기
악성코드 정보

불법 다운로드한 게임(크랙) 속에 숨어있는 악성코드

by DH, L@@ 2013. 4. 11.

 인기게임 '심시티' 를 불법으로 즐길 수 있는, 크랙(crack) 파일로 위장한 악성코드가 발견되어 주의가 필요하다. 해당 악성코드는 '토렌트' 를 통하여 국내, 해외의 불법 파일공유사이트를 통해 유포 중 이고, 인기게임을 공짜로 즐기기 위해 불법 다운로드 하는 유저를 대상으로 하여 빠르게 확산 중이다.

 

[그림 1] 한창 인기몰이중인 '심시티' 신작 게임

 

악성코드는 'SimCityCrake.exe' 와 'mscsvc.dll' 2개의 파일로 구성되어 있다. Simcitycrake.exe 를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe 로 복사 후에 아래와 같이 'Microsoft Windows System Service' 란 이름으로 서비스에 등록한다.

 

[그림 2] 서비스에 등록된 악성코드

 

mscsvc.dll 파일의 내부 코드를 살펴보면 IRC Bot 기능이 동작할 것을 예상 할 수 있다.

[그림 3] mscsvc.dll의 IRC 기능 코드

 

실제로 서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속 후, 지속적으로 명령을 전달 받는다. 아래와 같이 서버에 연결 시도중인 것이 확인된다.

 

[그림 4] C&C서버에 연결된 시스템

 

[그림 5] 일본에 위치한 C&C 서버

 

[그림 6] C&C서버와 통신 과정

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Ircbot.108032

댓글