인기게임 '심시티' 를 불법으로 즐길 수 있는, 크랙(crack) 파일로 위장한 악성코드가 발견되어 주의가 필요하다. 해당 악성코드는 '토렌트' 를 통하여 국내, 해외의 불법 파일공유사이트를 통해 유포 중 이고, 인기게임을 공짜로 즐기기 위해 불법 다운로드 하는 유저를 대상으로 하여 빠르게 확산 중이다.

 

[그림 1] 한창 인기몰이중인 '심시티' 신작 게임

 

악성코드는 'SimCityCrake.exe' 와 'mscsvc.dll' 2개의 파일로 구성되어 있다. Simcitycrake.exe 를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe 로 복사 후에 아래와 같이 'Microsoft Windows System Service' 란 이름으로 서비스에 등록한다.

 

[그림 2] 서비스에 등록된 악성코드

 

mscsvc.dll 파일의 내부 코드를 살펴보면 IRC Bot 기능이 동작할 것을 예상 할 수 있다.

[그림 3] mscsvc.dll의 IRC 기능 코드

 

실제로 서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속 후, 지속적으로 명령을 전달 받는다. 아래와 같이 서버에 연결 시도중인 것이 확인된다.

 

[그림 4] C&C서버에 연결된 시스템

 

[그림 5] 일본에 위치한 C&C 서버

 

[그림 6] C&C서버와 통신 과정

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Ircbot.108032

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드

자바 취약점을 악용하는 악성코드

트래픽을 유발하는 악성코드

P2P 사이트를 통해 유포되는 무협지 위장 악성코드
다양한 전자 문서들의 취약점을 악용한 악성코드
취약점을 이용하지 않는 한글 파일 악성코드
윈도우 8로 위장한 허위 백신 발견
당첨! 자동차를 받아가세요
도움말 파일로 위장한 악성코드가 첨부된 메일
UPS, Amazon 메일로 위장한 악성코드
악성코드 치료 후 인터넷 연결이 되지 않는다면


2) 모바일 악성코드 이슈

2012 미국 대선을 노린 광고성 애플리케이션 주의

일본 여성을 타깃으로 하는 Loozfon 모바일 악성코드

Anime character named Anaru(Android Malware)

유명 게임으로 위장한 개인정보를 유출하는 악성 앱 주의


3) 보안 이슈

인터넷 익스플로러 제로데이 취약점(CVE-2012-4969)


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.33 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원