[그림 1] 스타크래프트 리마스터 (*출처: https://www.facebook.com/PlayStarCraftKR)

　

이번에 발견된 악성코드는 스타크래프트 립버전(Rip Version)을 통해 유포되었다. 스타크래프트 립 버전이란 PC에 스타크래프트를 설치하지 않아도 바로 실행할 수 있는 불법 복제 프로그램으로, 게임 커뮤니티 사이트 등 인터넷에서 쉽게 다운로드할 수 있어 피해가 확산될 우려가 있다.

　

  
[그림 2] 스타크래프트 립버전 파일
　

립버전 프로그램의 내부에 존재하는 BroodWar.exe 파일이 특정 경로에 존재하는 악성 파일을 실행하는 역할을 한다. 브루드워(BroodWar)는 스타크래프트 게임의 확장판의 이름으로, 실제 게임 유저들이 이용하는 스타크래프트 게임이 브루드워이다. 올 여름 출시되는 리마스터 버전은 이 브루드워의 무료 패치 형태로 제공될 예정이다. 즉, 공격자는 게임 유저들의 관심을 끌고 의심을 피하기 위해 [그림 3]과 같이 브루드워의 실행 파일(BroodWar.exe)로 위장한 것이다. 해당 파일의 아이콘 또한 스타크래프트 게임에 등장하는 이미지를 차용하고 있다.

　

  
[그림 3] 악성 파일을 실행하는 BroodWar.exe

　

BroodWar.exe 파일은 다시 실제 악성 행위를 하는 파일인 StarCraft.exe를 실행시킨다. 이 파일은 실행되는 즉시 자기 자신을 ‘숨김 속성’으로 변경하여 사용자가 인지하지 못하도록 은폐한다. 이후 국내 유명 유틸리티 프로그램의 이름으로 위장한 실행 파일을 %Temp% 경로에 복제한다. 또 런 레지스트리 키(Run Registry Key)에 자기 자신을 등록하여 시스템 시작 시 자동으로 실행되도록 한다.

악성 파일인 StarCraft.exe의 패킹을 해제하면 여러 악성 기능을 확인할 수 있다. C&C 서버로부터 명령을 수신하고 감염 PC의 정보 탈취 및 제어하며, 다른 악성코드를 추가로 다운로드한다. 또 국내 백신 프로그램을 강제로 종료하는 기능도 갖고 있다.

V3 제품군에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
Trojan/Win32.Bladabindi


악성코드 제작자는 사람들의 관심과 이목이 집중된 사회적 이슈를 악용하여 악성코드를 유포하는 사회공학기법(Social Engineering)을 자주 이용한다. 이번 사례처럼 불법 복제 파일 등을 이용할 경우 악성코드에 감염되어 피해를 입을 가능성이 더욱 높다. 따라서 공식적인 경로를 통해 정상 소프트웨어를 이용하는 것이 기본이며, 메일이나 커뮤니티 사이트를 통해 파일을 다운로드할 경우 반드시 백신으로 검사 후 이용하는 것이 바람직하다. 무심코 다운로드 받은 파일에 마치 고스트(Ghost)처럼 정체를 숨긴 악성코드가 존재할 수 있다는 것을 잊지 말자. 멀웨어 런치드 디텍티드! (Malware launched detected!)

[출처 : 안랩(www.ahnlab.com)]