본문 바로가기
악성코드 정보

스타맵핵, 정말 맵핵기능만 있을까요? 아닐걸요?!

by 알 수 없는 사용자 2011. 4. 14.

프롤로그

누구나 상대방과의 경쟁에서 이기고 싶은 마음은 가지고 있습니다. 이는 온라인 게임에서도 예외일 수는 없겠죠. 온라인 상에서는 이런 사람의 심리를 교묘하게 이용하여 악성코드를 실행하게 하는 경우가 비일비재하게 발생하고 있는데 이를 사회공학(Social Engineering)기법이라고 하죠.

 

오늘 스타맵핵으로 위장한 악성코드의 위험성에 대해서 여러분께 경고하고자 합니다.

 

스타맵핵, 정말 맵핵기능만?

본론에 들어가기에 앞서 이번 글과 관련된 파일은 V3에서 아래와 같이 진단하고 있습니다.

1. V3 엔진버전: V3:2011.04.14.00
2. V3 진단명:
Win-Trojan/Pcclient.57348.D / Win-Trojan/Pcclient.491614 / Win-Trojan/PcClient6.Gen


스타 크래프트가 전 세계적으로 가장 인기 있는 게임 중에 하나라는 것은 어느 누구도 부정할 수는 없을 것입니다. 전 세계에 흩어져 있는 그리고 얼굴도 모르는 게이머와 함께 온라인으로 스타 크래프트를 즐긴다는 것은 스타 크래프트의 가장 큰 매력이죠.

 

온라인 상에서 상대방과 게임을 즐김에 있어서 누구나 상대방을 이기고 싶은 경쟁심리를 가지고 있습니다. 그렇기에 상대방의 진영을 훤히 들어다 볼 수 있는 스타맵핵 프로그램은 인터넷 검색을 통해서 어렵지 않게 구할 수가 있습니다. 그런데 문제는 그런 프로그램들이 정말 맵핵기능만 있느냐?란 것이죠.


[그림 1] 스타맵핵으로 올려진 파일들

 

인터넷에서 "스타맵핵"으로 검색을 해보면 어렵지 않게 [그림 1]과 같은 관련 검색결과를 얻을 수 있고 해당 프로그램을 다운로드 할 수 있습니다. 그런데 [그림 1]에서 보여지는 검색결과 중에서 일부 블로그나 카페에서 배포하고 있는 스타맵핵 프로그램에는 악성코드도 포함되어 있다는 것이 문제입니다.

아래 그림은 악성코드가 포함된 스타맵핵 프로그램을 유포하고 있는 블로그입니다.

[그림 2] 악성코드가 포함된 스타맵핵이 올려진 블로그

 

아래 그림들은 위 블로그에 올려진 스타맵핵 프로그램의 설치과정의 일부를 캡쳐한 것입니다.


[그림 3] 악성코드가 포함된 스타맵핵의 설치과정 (1)

[그림 4] 악성코드가 포함된 스타맵핵의 설치과정 (2)

 

위 설치과정에서 스타맵핵 프로그램만 설치되는 것이 아니라 악성코드(aaa.exe)도 함께 설치됩니다. [아래 그림참조]

 

[그림 5] 스타맵핵이 설치된 경로

 

[그림 5]에서 보는 것처럼 드롭퍼 기능을 가진 aaa.exe가 실행되면 시스템 폴더에 악성 DLL을 생성하며 해당 DLL svchost.exe에 주입(Injection)되어 실행됩니다. 그리고 주기적으로 아래 사이트로 접속시도를 합니다.

[그림 6] DLL의 접속시도 행위

  

해당 악성코드를 테스트할 당시에는 접속행위는 있었으나 추가 증상(파일 다운로드 등)은 발생하지 않았으며 접속시도 하는 URL에 대해서 검색해 보면 홍콩에 위치해 있음을 알 수가 있는데 왜? 스타맵핵 프로그램이 홍콩으로 접속할까요? 이상하지 않나요?

[그림 7] 접속 URL의 네트워크 정보

 

에필로그

맵핵을 사용하는 정당하지 못한 방법으로 상대방과의 경쟁에서 승리한들 과연 그것이 진정한 승리일까요? 아니겠죠! 순간 승리의 기쁨은 만끽할 수 있으나 자기 자신에게 떳떳하지 못한 행동이고 PC를 악성코드에 감염시킬 확률을 높이는 행동입니다. 그리고 악성코드 감염으로 인해 예상치 못한 부작용(예를 들면, 개인정보 유출, 파일삭제, OS 및 프로그램 실행방해 등)이 발생할 수 있습니다.

 

정당하지 못한 방법을 사용해서 상대방과의 경쟁에서 승리의 기쁨을 만끽함과 동시에 PC를 악성코드에 감염되게 할 것이냐? 아니면 정당한 방법으로 상대방과 경쟁하고 PC를 안전하게 지키느냐?는 여러분의 양심과 선택에 달려 있습니다.

 

과연 여러분은 어떤 선택은????

댓글