1. 개요


최근 중국에서 제작된 것으로 추정되는 온라인 게임 계정 탈취 악성파일이 국내에 다량 유포되고 있는 것으로 확인되었다. 해당 악성파일은 그 종류도 다양해지고 있으며, 간단한 툴킷 등으로 제작되어 매일 변종에 대한 제작 및 유포가 이루어지고 있다. 많은 종류의 해당 악성파일 중 최근 웜 형태의 감염 증상을 보이며, PC 사용 및 치료에 어려움을 느끼게 하는 종류에 대해 살펴보고 미리 대처할 수 있는 방법에 대해 알아보도록 하겠다.

2. 감염 경로 및 증상

우선 해당 악성파일은 여느 온라인 게임 계정 탈취 악성파일과 마찬가지로 그 발원지가 중국으로 추정되고 있으나 해당 악성파일의 제작자가 체포되지 않고있어 정확한 출처를 밝혀내기에는 어느정도 한계가 있다.

해당 악성파일은 정상 시스템 파일인 "Lpk.dll, Usp10.dll" 등의 파일명을 사용하고 있으며, 최초 감염을 유발하는 숙주 악성파일은 변조된 웹페이지 및 이메일의 첨부 파일이나 SNS(Social Network Service) 혹은 메신저 등을 통한 악성파일 유포 링크 접속으로 다운로드될 수 있다.

최초 감염을 유발하는 숙주파일은 다양한 파일명으로 명명되어 있을 수 있으며, 다운로드 후 감염이 이루어지면 하기와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성파일

 - (윈도우 시스템 폴더)\(임의의 6자리 영문자).exe (숙주파일의 복사본, 서비스로 등록된다.)
 - (윈도우 시스템 폴더)\hra33.dll (Lpk.dll, Usp10.dll 파일 등의 지속적인 생성작업 수행)
 - (모든 폴더)\Lpk.dll
 - (모든 폴더)\Usp10.dll


※ 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

위와 같이 감염 후 생성되는 추가적인 악성파일 중 hra33.dll파일이 숙주 동작을 하여 지속적으로 "Lpk.dll, Usp10.dll" 파일 등을 생성하며, 해당 파일들은 온라인 게임 계정 탈취 등의 동작을 한다. 또한, 감염된 PC와 동일한 IP 대역이거나 혹은 공유 폴더를 사용할 경우 네트워크 웜 형태의 감염 증상을 유발할 수 있다.

또한, 위의 생성파일 부분에 기재한 (임의의 6자리 영문자).exe 파일은 숙주파일의 복사본이며, 하기의 그림과 같이 서비스로 등록되어 PC 부팅 시마다 실행될 수 있다.


이렇게 온라인 게임 계정 탈취, 네트워크 웜과 같은 감염 형태를 보이는 "Lpk.dll, Usp10.dll" 파일 등은 아래의 그림과 같이 정상파일과 동일한 파일명을 가져 일반 사용자들은 육안으로 구별이 어려울 수 있다.


◆ "Lpk.dll, Usp10.dll" 파일에 대한 정상/악성 구분과 임시 대처 방법

아래의 설명과 같이 "Lpk.dll, Usp10.dll" 파일에 대한 정상/악성파일의 구분이 몇 가지 간단한 정보에 의해 어느 정도 가능하다.

※ "Lpk.dll, Usp10.dll" 정상파일과 악성파일의 차이점

1. 정상파일은 "윈도우 시스템 폴더", "윈도우 시스템 폴더\dllcache" 폴더에만 존재한다.
  - Usp10.dll 파일은 설치된 프로그램에 따라 다른 폴더에도 존재할 수 있다.

2. 정상파일과 악성파일은 사이즈에서 확연한 차이를 보인다.
  - 정상 Lpk.dll (대략 22KB, 22,016 바이트)
  - 악성 Lpk.dll (대략 88KB, 89,600 바이트) 
  - 정상 Usp10.dll (대략 397KB, 406,016 바이트)
  - 악성 Usp10.dll (대략 88KB, 89,600 바이트)

※ 악성파일인 Lpk.dll, Usp10.dll 파일은 서로 동일한 파일이다.

※ 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

위에서 설명한 차이점을 바탕으로 자신의 PC에 이러한 악성파일이 존재하는지 대부분 확인이 가능하다. 다만, 숨김 속성으로 존재하거나 위의 설명으로 확인에 어려움을 느끼는 경우가 있을 수 있다. 좀 더 손쉽게 확인할 수 있는 방법은 없을까?

윈도우 화면 좌측 하단의 "시작" -> "실행" -> cmd 입력 후 확인 버튼을 클릭하면 명령 프롬프트 창을 볼 수 있다. 그 후 하기의 명령어를 입력하여 "Lpk.dll, Usp10.dll" 파일에 대한 검색을 진행한다.

※ 명령 프롬프트 창 입력 명령어
  - dir lpk.dll usp10.dll /a /s


위와 같은 명령어를 입력하면 C:\(파티션을 나누어 HDD를 사용할 경우 D:\, E:\...등을 순차적으로 검색)에 존재하는 "Lpk.dll, Usp10.dll" 파일에 대한 전체 검색이 가능하며, 위 그림과 같이 검색 결과가 4개 이하로 나온다면 보통 정상이라고 간주할 수 있다.

만일 위와 같은 악성파일이 사용자의 PC에 존재할 경우 백신이 존재하지 않거나 치료가 불가능한 상황이라면 아래의 설명으로 임시적인 대응이 가능하다. 다만, 하기의 설명은 임시적인 방편일 뿐이니 되도록 백신을 이용한 치료를 진행할 수 있도록 하자.

윈도우 화면 좌측 하단의 "시작" -> "실행" -> cmd 입력 후 아래의 명령어를 실행한다.

※ 명령 프롬프트 창 입력 명령어 
  - del lpk.dll usp10.dll /a /s


위와 같이 정상파일은 엑세스 거부 메시지가 출력되고 악성파일은 모두 삭제된다.

3. 예방 조치 방법

위에서 설명한 증상과 임시 대처 방법은 감염 숙주파일에 따라 다를 수 있다. 다만, 해당 악성파일은 특정 악성파일을 지속적으로 생성하는 만큼 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 수행, ▶발신처가 불분명한 이메일에 대한 열람 및 첨부 파일에 대한 다운로드 자제, ▶메신저나 SNS를 통한 URL 접속 시 주의 등은 물론 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON" 상태로 유지하여 사용하는 것이 무엇보다 중요하다고 할 수 있다.

※ 잉카인터넷 대응팀에서는 위와 같이 지속적으로 출현 중인 악성파일에 대해 24시간 관제 작업 등의 대응체계를 유지하고 있으며, Daily 업데이트를 통해 아래의 그림과 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


최근들어 개인정보 유출을 목적으로 하는 악성 파일들이 다양한 유포방식을 통하여 발견 되어지고 있다. 이러한 가운데 윈도우 운영체제의 중요 시스템 파일을 변조 하거나 백신 프로그램  검사 우회, 치료나 삭제시 시스템에 영향을 주는 악성파일들이 발견 되어짐에 따라 사용자들의 각별한 주의와 신속한 대응 전략이 마련 되어져야 할 것으로 보여지고 있다.


2. 감염 방식 및 취약점 정보

2-1. 감염 방식

현재 해당 악성파일은 사용자가 변조되어진 웹 페이지를 열람할 경우 MS 보안 취약점에 노출되어진 컴퓨터에서 악성파일이 실행되어 진다. 최근까지도 발생하고 있는  정상 Comres.dll 변조 악성파일은 인스턴스 메시지나 쪽지 등의 확인되지 않은 URL 접근시 또는, 변조되어진 웹 페이지를 열람 할 경우 감염이 진행되게 된다.


네이트온 악성파일로 잘 알려진 해당 악성파일은 기존의 단일화 되어진 유포방식을 지나 위의 그림처럼 좀더 다양하고 지능화 되어진 방식을 통하여 확산 및 감염이 가능하도록 그 목적을 두고 있다.

2-2. 취약점 정보


이와 같은 악성파일 감염은 최초 보안 취약점에 노출되어진 환경에서 발생할 수 있는 조건을 갖추고 있음으로 아래와 같이 MS 보안 업데이트 적용을 통하여 감염을 미연에 방지할 수 있다.


3. 감염 증상

다운로드 되어진 01.exe와 3.exe 악성파일이 실행되면 아래와 같은 특정 경로에 파일을 생성하게 된다. 또한, 해당 악성파일에 감염되면 정상 운영체제에서 사용되어지는 comres.dll 와 imm32.dll 파일을 변조하게 된다.

[생성파일]

(시스템 폴더)\ComResA.dll
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\nt32.dll.(임의의 영문).tmp
(시스템 폴더)\systemInfo.ini
(시스템 폴더)\systemInfomations.ini

[참고사항]

 - (시스템 폴더)란 일반적으로 C:\WINDOWS\system32 이다.

실제 정상 운영체제에 사용되어지는 Comres.dll 파일이 삭제 되어질 경우 시스템 이상 증상을 유발시킬 수 있기 때문에 백신 프로그램 등을 통하여 변조되어진 파일들을 정상 파일로 복원시켜주는 적절한 과정이 필요하다.

<참고> 파일 사이즈에 따른 정상파일 및 악성파일 구분 방법!!
 
  A. 정상 Comres.dll 파일 
     C:\WINDOWS\system32\comres.dll (16,232 바이트) 

  B. 악성 Comres.dll 파일
     C:\WINDOWS\system32\comres.dll  (7,168 바이트)

3.exe 파일에 의하여 생성되어진 nt32.dll 파일은 아래와 같이 특정 온라인 게임 계정 탈취 목적을 가지고 있다.

Pmang.com
Netmarble.net
Nexon.com
Lineage.plaync.co.kr
Hangame.com

※ 정상 Comres.dll, Imm32.dll 파일과 변조되어진 Comres.dll, Imm32.dll 파일 비교



4. 예방 조치 방법

1. 신뢰할 수 있는 보안 업체에서 제공하는 보안 소프트웨어를 설치하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
3. 윈도우와 같은 OS 및 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.

현재 comres.dll 과 imm32.dll 변조 관련 악성파일은 아직까지도 많은 변종이 나타나고 있으며 각기 다른 증상이 발생하고 있다. 이와 같이 시스템 이상 증상이 발생할 경우 AVS2007 상단의 [신고하기] 메뉴를 이용하여 관련 정보를 제공하여 주시면 확인 후 좀더 빠른 대응 및 답변을 드릴 수 있습니다.

※ nProtect ANti-Virus/Spyware 2007 제품으로 진단한 화면



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect