인기 게임에 숨어든 ‘좀비PC’ 만드는 악성코드

2013.04.15

 

도시경영 시뮬레이션 게임으로 인기를 끌고 있는 심시티의 최신작 ‘심시티5’ 출시에 세간의 관심이 쏠리면서 이를 이용한 악성코드가 빠르게 번지고 있어 주의가 요구된다.

 

최근 심시티를 불법으로 즐길 수 있는 크랙(crack) 파일로 위장한 악성코드가 발견됐다.

 

크랙이란, 복사 방지나 등록 기술 등이 적용된 소프트웨어의 비밀을 풀어 불법으로 복제하거나 파괴하는 것을 말한다.

 

이번 악성코드는 국내∙외 불법 파일 공유 사이트를 통해 유포되고 있으며, 인기 게임을 공짜로 즐기기 위해 해당 파일을 불법으로 다운로드하는 사용자를 대상으로 빠르게 확산 중이다.

 

 

[그림 1] 도시 경영 시뮬레이션 게임 심시티의 최신작  ‘심시티5’

 

악성코드는 ‘SimCityCrake.exe’와 ‘mscsvc.dll’ 2개의 파일로 구성되어 있다.

Simcitycrake.exe를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe로 복사한 뒤 [그림 2]와 같이 ‘Microsoft Windows System Service’란 이름으로 서비스에 등록해 사용자의 컴퓨터를 좀비PC로 만든다.

 

악성코드와 함께 제공된 게임 파일로는 게임 실행은 되지 않았다.

 

[그림 2] 서비스에 등록된 악성코드

 

 

서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속한 뒤, 지속적으로 명령을 전달받는다.

 

확인 결과 [그림 4]와 같이 다수의 좀비PC들이 이미 서버에 연결 중이었다.

 

 

[그림 3] 일본에 위치한C&C 서버

 

[그림 4] C&C서버와 통신 중인 다른 좀비PC

 

 

ASEC 대응팀은 “이처럼 불법 게임이나 불법 동영상(영화) 등에는 악성코드가 숨겨져 있는 경우가 많으므로 항상 공식적인 경로를 이용해 정품을 쓰도록 해야 한다”며 “V3 등 안티바이러스 제품의 실시간 검사를 활성화해 악성코드 감염을 미연에 방지해야 한다”고 조언했다.

 

해당 악성코드는 V3 제품에서 진단 및 치료가 가능하다.<Ahn>

 

※ 이 글의 원문은 안랩홈페이지에서 확인하실 수 있습니다.