일본 음란게임 ‘가위바위보’ 압축파일에 악성코드 심어
[보안뉴스 김태형] 방송통신위원회는 최근 ‘음란물 근절 TF’를 구성해 대용량 음란물의 주된 유통경로가 되고 있는 웹하드·P2P, 토렌트, SNS, 실시간 개인방송, 카페·블로그 및 해외 음란사이트에 대한 중점 모니터링을 통해 음란물 심의의 효율성을 높일 계획이라고 밝힌 바 있다.
이런 가운데 국내 다수의 토렌트(Torrent) 사이트들에서 음란 게임으로 위장해 악성코드를 은밀하게 배포하는 정황이 포착됐다.
이스트소프트의 알약 블로그에 따르면, 2015년 3월 4일 국내 특정 토렌트 사이트에 ‘가위바위보.zip.torrent’ 파일이 게시됐다. 등록된 게시글은 ‘19禁 가위바위보 옷벗기기 토렌트’라는 제목을 담고 있으며, 실제 일본에서 만들어진 음란한 플래시 기반의 게임파일이 포함되어 있다.
▲ 토렌트 음란게임과 악성코드 유포절차 (출처: 알약 블로그)노출수위가 높은 유해성 게임이 미성년자를 포함해 불특정 다수에게 무차별 배포된 것과 함께 더욱 큰 문제는 이 게임파일 내부에 원격제어를 통해 미상의 악의적인 해커가 감염된 이용자 컴퓨터에 몰래 접속할 수 있는 악성코드까지 몰래 숨겨져 있었다는 것이다.
알약 블로그 측은 “공격자는 주도면밀하게 악성코드를 제작했다. 처음 토렌트에 등록할 때부터 관심을 유발하기 위해 음란한 자료에 악성코드를 추가시켰다. 이 악성코드는 마치 정상적인 게임파일로 공유되고 있으며, 여러 토렌트 사이트를 통해 전파가 지속되고 있는 상황이라고 밝혔다. 토렌트 사이트들의 특성상 이미 여러 곳에서 동시다발적으로 배포가 되고 있는 것으로 분석됐다.
공격자는 이용자들이 많은 특정 토렌트 사이트에 성인용을 뜻하는 ‘19금’이라는 특정 키워드와 노출수위가 높은 음란성 이미지를 포함시켜 정상적인 게임파일처럼 위장한 악의적인 토렌트 파일을 등록했다. 이후 이 토렌트 파일은 여러 사이트를 통해 지속적으로 공유되기 시작해 현재 다수의 토렌트 사이트에서 배포되고 있다.
국내에서 운영 중인 일부 토렌트 사이트를 살펴보면 도메인이 달라도 하위 주소들이 비슷하다는 점을 알 수 있다. 현재 이 토렌트 사이트들은 공통적으로 동일한 악성코드를 배포하는데 악용되고 있다. 토렌트 이용자가 ‘가위바위보.zip.torrent’ 이름의 파일을 받아 파일을 실행하면 ‘가위바위보.zip’ 파일이 받아지게 된다.
▲ 토렌트를 통해서 배포 중인 화면 (출처: 알약 블로그)
‘가위바위보.zip’ 압축파일 내부에는 ‘가위바위보옷벗기기.exe’ 실행파일과 ‘새 텍스트 문서.txt’ 문서파일이 포함되어 있다. 압축된 날짜를 확인해 보면 2015년 3월 4일 오후 2시 35분경이라는 점을 알 수 있다. 공격자는 토렌트 파일을 먼저 배포하고, 이후에 압축된 파일을 제작했던 것으로 추정할 수 있다.
▲ 가위바위보.zip 압축파일 내부 화면 (출처:알약 블로그)
‘가위바위보옷벗기기.exe’ 파일이 실행되면 먼저 시스템 드라이브 루트경로(C:\)에 ‘qwe.exe’, ‘game.exe’ 파일을 생성하고 실행한다. 여기서 ‘qwe.exe’ 파일이 악성코드이며, ‘game.exe’ 파일이 플래시 기반의 음란 게임파일이다. 악성코드는 이후 시스템 폴더 경로에 랜덤한 파일명으로 복사본을 만들어 작동하고, 루트 드라이브에 존재하던 원본은 삭제하게 된다.
‘game.exe’ 플래시 게임파일이 실행되면 일본에서 제작된 음란 게임이 시작된다. 악성코드는 분석을 방해하기 위해서 ‘Themida’ 프로그램으로 실행 압축되어 있다. 또한, 코드 내부적으로 사용된 언어가 중국어(zh-cn)로 설정된 것을 알 수 있다. 악성코드에 감염된 경우 호스트 23.102.65.159 주소로 접속해 공격자의 추가 명령을 기다리게 된다.
알약 블로그 측은 다수의 토렌트 사이트를 통해 원격제어와 개인정보 유출 피해를 입을 수 있는 악성코드가 은밀하게 유포되고 있다. 특히, 음란한 내용으로 이용자들을 현혹시키고 있어 보다 각별한 주의가 필요하다고 강조했다.
특히, 원격제어 기능이 탑재된 악성코드의 경우 이용자 컴퓨터에 미상의 해커가 몰래 접속해 내부 자료를 훔쳐보거나 탈취할 수 있어 위험하다. 해당 악성코드는 현재 알약에서 ‘Trojan.GenericKD.2198432’로 탐지하고 있다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
