본문 바로가기

벌새::Analysis

스타크래프트(Starcraft) 무설치 버전에 숨어있는 백도어(Backdoor) 주의 (2016.12.10)

여전히 많은 사랑을 받고 있는 스타크래프트(Starcraft) 게임을 무설치 버전을 이용하여 사용자 몰래 백도어(Backdoor)를 설치하여 좀비 PC로 만드는 행위가 여전히 발견되고 있기에 2016년 하반기에 유포된 사례를 통해 확인해 보도록 하겠습니다.(관련 파일을 제공해주신 바이러스 제로 시즌 2 보안 카페 회원님께 감사드립니다.)

 

 

배포된 압축 파일 내부에는 대부분 2009년경 생성된 파일들이 존재하며, 이 중에서 스타크래프트(Starcraft) 실행 파일(StarCraft.exe)과 시디키 바꾸기.exe 파일이 2016년 9월과 11월에 수정된 것을 발견할 수 있습니다.

 

1. StarCraft.exe (SHA-1 : 63ce65353997b71c71869cd1cb812ff9dabb058e - AhnLab V3 : Trojan/Win32.Magania.R18731)

 

 

  • Server.exe (SHA-1 : 10caa4c530b532e8b7a9fd3452e343fdf969e9ca - AhnLab V3 : Win-Trojan/Scar.109568.U)
  • StarCraft 스타 원본.exe (SHA-1 : 9bd58cd7ac1cce85e0ae977dcfac375a342ae507 - avast! : Win32:Vitro)

 

StarCraft.exe 실행 파일 내부에는 일명 서버 파일(Server.exe)과 Virut 바이러스 코드에 노출되었던 StarCraft 스타 원본.exe 파일이 포함되어 있습니다.

 

  • C:\Windows\System32\hchjyc.exe (SHA-1 : 10caa4c530b532e8b7a9fd3452e343fdf969e9ca - BitDefender : Win32.Virtob.Gen.12) :: "Nationalsqv Instruments Domain Service" 서비스 등록 파일, 숨김(H) / 시스템(S) 파일 속성

 

만약 사용자가 스타크래프트(Starcraft) 게임을 실행할 목적으로 StarCraft.exe 파일을 실행할 경우 사용자 몰래 Server.exe 악성 파일을 시스템 폴더에 랜덤(Random)한 파일명으로 자신을 복제합니다.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Nationallap

시스템 폴더에 숨김(H), 시스템(S) 파일 속성으로 생성된 악성 파일은 시스템 시작 시마다 자동으로 실행되도록 "Nationallap (표시 이름 : Nationalsqv Instruments Domain Service)" 서비스 항목을 등록합니다.

 

이를 통해 "wnsguq159.codns.com" C&C 서버와의 통신을 시도하며 추가적인 명령에 따라 악의적인 기능을 수행할 수 있습니다.

 

2. 시디키 바꾸기.exe (SHA-1 : cf5892b28103d4daa7c3c9ebfa643d17f2e33ea2 - AhnLab V3 : Backdoor/Win32.Agent.C399552)

 

 

  • server.exe (SHA-1 : 84a89f45751dbe6bdff9a2925a15dd84ddea0d46 - Kaspersky : Backdoor.Win32.Xyligan.ml)
  • 시디키 바꾸기.exe (SHA-1 : 07a06f6fa806006f708db63326c3bc033415b390 - nProtect : Virus/W32.Neshta)

 

스타크래프트(Starcraft) 게임의 시디키를 변경할 수 있는 것처럼 파일명이 지정된 시디키 바꾸기.exe 파일 내부에도 또 다른 서버 파일(server.exe)과 Neshta 바이러스 코드에 노출되었던 시디키 바꾸기.exe 파일이 포함되어 있습니다.

 

  • C:\Windows\System32\lmjdyf.exe (SHA-1 : 84a89f45751dbe6bdff9a2925a15dd84ddea0d46 - nProtect : Virus/W32.Virut.Gen) :: "Remote Command Service" 서비스 등록 파일, 숨김(H) / 시스템(S) 파일 속성

 

만약 사용자가 스타크래프트(Starcraft) 시디키 교체를 목적으로 시디키 바꾸기.exe 파일을 실행할 경우 사용자 몰래 server.exe 악성 파일을 시스템 폴더에 랜덤(Random)한 파일명으로 자신을 복제합니다.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\rcmdsvc

시스템 폴더에 숨김(H), 시스템(S) 파일 속성으로 생성된 악성 파일은 시스템 시작 시마다 자동으로 실행하도록 "rcmdsvc (표시 이름 : Remote Command Service)" 서비스 항목을 등록합니다.

 

이를 통해 "guq159.zz.am" C&C 서버와의 통신을 시도하여 추가적인 명령에 따라 DDoS 공격 등의 악의적인 행위를 수행할 수 있습니다.

 

위와 같이 신뢰할 수 없는 스타크래프트(Starcraft) 무설치 버전을 다운로드하여 실행할 경우 사용자 몰래 공격자의 명령에 따라 좀비PC로 악용될 수 있으므로 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

  • 앱체크 사용자는 사전에 차단가능한가요?
    좀비pc가 되엇다면 백신이나 mzk로 치료가능한지 궁금해요~

  • 우엉 2020.01.27 15:31 댓글주소 수정/삭제 댓글쓰기

    스타크래프트를 하다가 그만하려고 Exit을 누르고 컴퓨터를 끄려다가 배경화면에 SEXP.exe인가 SEXP.mp인가? 아무튼 그런게 있길래 잘 모르겠는데 부모님이 아무것도 아니래서 냅두고 껐는데, 나중에 컴퓨터를 키니까 '바이러스가 이 본체를 공격했었습니다.'이런? 말이 있거라구요.. 그래서 얼른 SEXP파일을 버리고 휴지통을 비웠는데 나중에 보니깐 또 생겨서 자꾸 차단하다보면 차단을 못할때도 있을거라서 결국엔 바이러스에 감염될 것같은데 어쩌죠??