랜섬웨어

게임 스타크래프트로 위장한 악성코드

1,340    2017-04-14


개요  

최근 스타크래프트의 리마스터 버전을 출시 발표 이후 다시 한번 국내 이용자들의 큰 관심을 받았습니다. 

출시와 동시에 '브르두워 확장판' 버전을 무료로 사용할 수 있다고 발표를 하여 화제가 큰 화제가 되면서 관련 이슈를 이용하여 악성코드가 국내 이용자들을 대상으로 유포되고 있어 좀비 PC 감염이 되기 때문에 사용자들의 주의가 필요할 것으로 판단되어 해당 악성코드의 동작 방식 및 대응 방안을 안내드리고자 합니다.



감염 증상 

· 컴퓨터 임의 제어 증상

· 부팅 시 필요한 파일이 삭제되어 컴퓨터 시스템의 로딩이 되지 않음

· 인터넷이 끊기는 현상

· 개인 정보 탈취 및 스팸 전송

· 해커의 명령에 따라 개인 정보 탈취



동작 방식 


  

· 블로그 및 토렌트를 이용하여 유입 

· 블로그로 유포될 경우 스타크래프트 ‘1.16.1 립버전.egg’ 유입

▷ 압축파일에 ‘↓실행하면 다운’이라는 이름의 폴더가 악성파일 설치를 유도

· 토렌트로 유포될 경우 

▷ 다운로드한 폴더 확인 시 파일명인 ‘startcraft.exe’가 아닌 ‘스타.exe’ 실행파일 확인

· 스타.exe의 실행파일 실행 시 악성코드 감염



1) 감염 경로

 

 ▶ 출처: 이스트시큐리티



2) 블로그로 유입되는 악성 파일 

 ▶ 출처: 이스트시큐리티



3) 토렌트로 유입된 악성 파일 

 

▶ 출처: 이스트시큐리티



대응 방안  

관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로  exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방


※ iMONLOPE (랜섬웨어 대응 솔루션) 문의하기



댓글 : 0