1. 개 요


최근 온라인 게임 계정정보 탈취를 목적으로 하는 악성파일이 웹 하드 사이트 등을 중심으로 지속적인 유포가 이루어지고 있는 가운데 MBR(Master Boot Record)을 변조하여 지속적인 감염을 유발하는 변종이 출현해 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 감염 후 백신 등을 통해 치료를 진행하여도 재부팅되면 지속적으로 재감염되는 감염증상을 가지고 있어 안전한 PC사용을 위해서는 백신의 실시간 감시 기능 등으로 사전 예방 대책을 마련하는 것이 무엇보다 중요하다고 할 수 있다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 같이 각종 웹 하드 사이트 등을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 SNS 및 메신저 등을 통해서도 유포될 수 있다.

해당 악성파일은 imm32.dll, lpk.dll 파일과 같은 정상파일을 Patched 형태로 감염 시키는 증상을 보이는 등 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 동일한 감염증상을 보이고 있다. 다만, MBR을 변조하여 지속적인 재감염 증상을 유발하는 것이 핵심이자 차이점이라 할 수 있다.
  

◆ 변조되기 전 MBR

변조된 MBR

위 그림은 MBR의 변조 전과 변조 후의 상태를 보여주고 있다. 위 그림과 같이 MBR이 변조되면 게임 계정 정보를 탈취하는 악성파일이 치료된다고 해도 재부팅될 시 지속적인 재감염 증상을 나타낼 수 있다.

재감염 유발 코드가 포함된 MBR 은 아래의 그림을 통해 확인이 가능하다.

재감염 코드가 포함된 변조된 MBR

  

또한, 감염되면 아래와 같은 추가적인 악성파일들이 생성 및 다운로드 될 수 있다.

※ 생성 파일

 - C:\Windows\lpk.dll
 - C:\Windows\system32\DiskSystem.exe
 - C:\Windows\system32\halc.dll
 - C:\Windows\system32\imm32.dll
 - C:\Windows\system32\ws2sock.dll
 - C:\Windows\system32\dnetcom.dll
 - C:\Windows\system32\drivers\FileEngine.sys


위와 같이 추가적으로 생성된 악성파일까지 감염이 완료되면 lpk.dll 파일 등과 같이 정상파일에 대한 Patched 형태의 악성파일을 통해 온라인 게임 계정정보가 탈취될 수 있으며, FileEngine.sys파일에 의해 특정 백신에 대한 프로세스 실행 감시 기능 등이 동작될 수 있다.

3. 예방 조치 방법

위와 같은 악성파일은 감염될 경우 MBR을 변조시키기 때문에 백신에 의한 완전한 치료가 어려울 수 있다. 이 경우 MBR에 대한 복원 작업이 선행되어야 하므로 아래의 방법을 통해 MBR을 복원 후 백신에 의한 치료를 진행할 수 있도록 하자.

  

변조된 MBR에 대한 수동 복구 및 치료 방법

① 우선 가지고 있는 "윈도우 설치 CD"를 사용하여 아래의 그림과 같이 진행 후 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

 

③ 위와 같이 ①, ② 번 항목을 수행하면 MBR에 대한 복구가 완료되며, 백신을 통해 나머지 악성파일들에 대한 치료를 완료 할 수 있도록 한다. 

  

일반 사용자의 경우 위와 같은 악성파일에 의해 MBR 영역이 변조 되더라도 MBR 변조 여부에 대해 인지하기가 쉽지 않으며, 일반적인 방법으로 치료가 어려울 수 있다. 때문에 위와 같은 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 최선의 방법이라고 할 수 있다.

 

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


오래 전부터 온라인 게임 계정 탈취 목적의 악성파일이 주말을 이용해 대대적으로 유포되고 있다. 이러한 악성파일 중 감염이 되면 정상적으로 부팅이 진행되지 않는 심각한 피해 증상을 유발하는 종류의 악성파일(ws2help.dll 변조)이 최근 발견되어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 접속자가 많은 웹 하드 사이트 등을 주요 유포 경로로 사용함과 동시에 다양한 웹 사이트를 변조하여 악성파일 유포 경로로 악용하고 있어 지속적인 대단위 감염 전파도를 보이고 있다.

  

[주의]Melon Player로 위장한 악성파일 유포중
http://erteam.nprotect.com/174

[주의]윈도우 시스템 파일을 교체하는 악성파일 변종 증가
http://erteam.nprotect.com/173

[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파
http://erteam.nprotect.com/170

잉카인터넷 시큐리티 대응센터에서는 이러한 변종의 악성파일 증가의 위협을 고려함과 동시에 사전 원천 방어를 목표로 최근까지 유포되었던 악성파일을 정밀 비교 분석하여 유사 기능을 보유한 신/변종들을 ▶추가 패턴 업데이트 없이 사전에 포괄적으로 탐지하고 치료할 수 있는"GD(Generic Detection)" 기능을 제공]하고 있어 ▶별도의 전용백신을 사용하지 않아도, nProtect 제품 사용자들은 이번 부팅 불가 장애가 발생하는 악성파일을 사전에 예방할 수 있으며, 관련 진단명은 아래와 같다.

◎ Trojan/W32.Forwarded.Gen

2. 감염 경로 및 증상

위와 같은 악성 파일들은 주로 웹 하드 사이트, 유명 소셜커머스 사이트, 인터넷 뉴스 사이트 등 사용자가 많은 곳에서 집중적으로 유포되고 있으며 Adobe Flash Player 취약점, MS OS 취약점 등을 사용해 지속적으로 감염 확산 범위를 넓혀가고 있다.

해당 악성파일은 정상적인 웹 사이트를 해킹하여, 웹 관리자 몰래 삽입된 악성 스크립트를 시작으로 다양한 취약점이 복합적으로 사용되며, 최종적으로 국내외 유명 온라인 게임 사용자들의 계정 탈취 기능을 보유한 악성파일의 다운로드 및 실행을 시도하는 방식의 감염 형태를 보이고 있다.

최근에 유포된 악성파일에 감염 시 악성파일의 비정상적인 작동에 의하여 아래와 같은 부작용이 발생할 수 있다.

a. 인터넷 익스플로러 강제 종료 현상 (인터넷 뱅킹 사용 불편)
b. 컴퓨터 실행 속도의 저하
c. 블루 스크린(BSOD) 발생
d. 무한 재부팅 현상 발생
e. 안전모드 부팅 불가


아래의 그림은 해당 악성파일 유포에 사용되었던 악성 스크립트 코드 및 SWF 파일 내부의 코드이다.

▣ 기존과 동일한 감염 증상
  

■ 악성 SWF 파일 및 스크립트 내부 코드

 

  

위 그림을 살펴보면 해당 악성파일이 CVE-2011-2110 취약점을 사용한 것을 확인할 수 있으며, 최종적으로 아래와 같은 악성파일을 다운로드하게 된다.


위와 같은 악성파일이 다운로드된 후 실행되어 감염이 이루어지면 아래의 그림과 같은 악성파일을 생성하며, 해당 악성파일은 실제로 특정 온라인 게임 계정 정보를 탈취할 수 있는 악성파일을 생성하게 된다.


※ 생성 파일

 - (윈도우 시스템 폴더)\ws2help.dll (33,611,784 바이트, 악성파일)
 - (윈도우 시스템 폴더)\ws3help.dll (19,968 바이트, 정상파일)
 - (윈도우 시스템 폴더)\(년월일시분초).dll (19,968 바이트, 정상파일)

위에서 설명한 생성 파일들은 정상파일을 포함하고 있으며, 아래의 그림을 참고하면 좀 더 이해가 쉬울 것이다.


ws2help.dll 파일이 정상적인 윈도우 시스템 파일명이다. 위 그림을 살펴보면 알 수 있듯이 악성파일이 정상 파일을 ws3help.dll로 파일명을 변경한 후 자신이 정상 파일명을 도용해서 사용하고 있다.

 BSOD 발생, 무한 재부팅 반복 증상

위에서 설명한 일종의 감염 과정을 거치게 되면 특정 온라인 게임 계정 정보를 탈취할 수 있는 악성파일에 최종적으로 감염될 수 있다.
 
다만, 이번에 발견된 변종의 경우 감염 과정이 위와 같이 모두 완료된 후 재부팅을 시도하게 되면 아래의 그림과 같은 블루스크린 화면을 보여줄 수 있다.


또한, 해당 블루스크린 화면이 출력되면 메모리 로드 과정 중 무한 재부팅 과정이 반복될 수 있으며, 해당 블루스크린 화면 또한 지속적으로 출력될 수 있다.

3. 예방 조치 과정

위와 같은 악성파일은 이미 여러차례 지난 글들을 통해 넓은 감염 범위, 다양한 피해 사례 발생(온라인 게임 계정 정보 탈취, 인터넷 뱅킹 사용시 간헐적 브라우저 종료 현상)등을 언급한 바 있다. 하지만 이번에 발견된 변종의 경우 감염되면 사용자들의 PC가 정상적인 부팅이 어렵게 되어 자칫 PC사용불가 등의 치명적인 피해 사례를 유발할 수 있다.

다만, nProtect 제품군에서는 상단의 글에서 언급했던 바와 같이 "2011-06-23.01 패턴 버전"을 통해 이와 같은 종류의 악성파일들을 신종/변종에 상관없이 모두 진단/치료가 가능한 "Generic 진단/치료 기법"을 엔진에 탑재하여 배포하고 있다.

기존의 nProtect 제품군을 이용하던 사용자들은 최신 엔진 및 패턴 버전(2011-07-05.01) 업데이트만으로도 위와 같은 악성파일 감염으로 부터 안전할 수 있으니 반드시 최신 엔진 및 패턴 버전을 유지할 수 있도록 하자.

물론 해당 악성파일에 미리 대처하지 못해 감염되었다고 해도 포멧 등의 극단적인 방법으로 PC를 정상적으로 복구할 필요는 없다. 만일 해당 악성파일에 감염된 PC가 있을 경우 아래의 복구 방법을 참고하여 정상 사용이 가능한 상태로 복구할 수 있도록 하자.
  

▣ 감염 후 복원 방법

1. 복구를 위해서는 Windows 설치 CD가 필요하다. Windows 설치 CD를 CD-ROM에 삽입한 후 재부팅을 하면 "Press any key to boot from CD..."와 같은 메시지가 화면에 출력된다. Enter Key를 입력한다.


2. 아래의 그림 처럼 "Windows 설치를 복구하려면, <R>키를 누르십시오." 와 같은 메세지 화면이 출력되면 <R> 키를 입력한다.


3. 복구콘솔 화면으로 진입하게 되면 아래의 그림과 같은 화면이 출력된다.


먼저, 로그온할 Windows 설치 선택 부분에 "1" 을 선택한 후 Enter Key를 누른다. Administrator 암호가 설정되어 있을 경우 해당 암호를 입력하고, 암호가 없을 경우 Enter Key를 누른다.

4. 아래의 명령어를 순서대로 입력한다.

※ 입력 명령어

  - "del ws2help.dll" (악성파일 삭제)
  - "ren ws3help.dll ws2help.dll" (정상파일의 파일명을 원래대로 복원)
  - "exit" (종료)

5. 위와 같은 방법을 진행한 이후 다시 시스템 재부팅을 진행하도록 한다.
  

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일을 신종 및 변종에 상관 없이 모두 치료가 가능한 Generic 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.






저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일이 국내에 다량 유포되고 있는 것으로 확인되었다. 그중 정상파일인 "lpk.dll" 파일명을 사용하는 악성파일의 변종 유포가 매우 활발히 이루어지고 있으며, 최초 감염을 유발하는 숙주파일의 파일명으로 국내 유명 백신 업체의 파일명을 도용하는 악성파일이 발견되어 사용자들의 각별한 주의가 필요한 상황이다.


위와 같은 경우 일반 사용자들은 감염 사실을 파악하기가 매우 어려워 지속적인 감염 상황이 발생할 수 있다. 온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일은 다수의 사용자들을 대상으로 금전적 피해를 유발할 수 있는만큼 이번 글을 통해 이와 같은 유형의 악성파일에 대해 살펴보고 혹시 있을지 모를 피해에 미리 대비할 수 있도록 하자.

2. 감염 경로 및 증상

온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일은 다수의 유포를 위해 다양한 유포경로를 가질 수 있다. 주로 취약점을 가지는 웹 사이트에 해당 악성파일에 대한 다운로드가 가능하도록 변조를 하는 방법이 있으며, 이메일의 첨부파일 형태나 인스턴트 메신저 혹은 단축 주소와 같은 변환 주소의 링크 등 유포 경로가 매우 다양할 수 있다.

온라인 게임 계정 정보 탈취 목적의 악성파일중 최근 가장 유포 빈도가 높은 악성파일은 이미 블로그에서 언급한바 있는 "lpk.dll" 파일명을 이용한 악성파일이다.
  

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]

http://erteam.nprotect.com/130
  

위와 같은 악성파일 유포 및 감염 유발을 위해 제작자들은 일반 사용자들이 쉽게 현혹될 수 있는 방법을 동원하는 것이 일반적이다.
이번에 발견된 악성파일은 아래의 그림과 같이 일반 사용자들을 현혹 시키기 위해 해당 악성파일의 파일명을 국내 유명 백신사의 파일명으로 위장하였다.

단지 파일명을 국내 유명 백신사의 파일명으로 위장하였을 뿐이지만, 최근 파일명, 아이콘, 파일의 속성 정보 등을 위장하는 경우가 많으니 사용자들은 웹 사이트 등을 통한 파일 다운로드 시 각별히 주의할 수 있도록 하자.

해당 악성파일을 실행할 경우, 곧바로 온라인 게임 계정 정보 탈취 등을 시도할 수 있는 악성파일에 대한 감염이 이루어질 수 있으며, 파일명은 정상 파일명과 동일한 "lpk.dll"을 사용한다.

※ 생성 파일

 - C:\Program Files\%TOOYUAMER%\66621.exe (33,629,048 바이트)
 - (윈도우 시스템 폴더)\lpk.dll (47,250 바이트)
 - (윈도우 시스템 폴더)\lpk32.dll (22,016 바이트) -> 정상 lpk.dll 파일

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

위에서 설명한 "※ 생성 파일" 부분을 살펴보면 lpk32.dll 이란 파일이 생성된 것을 알 수 있다. 해당 파일은 엄밀히 말하자면 생성 파일이라기 보단 파일명이 변경되었다라고 보는 것이 맞다.

해당 악성파일에 감염될 경우 정상 lpk.dll 파일을 lpk32.dll로 그 파일명을 변경한 후 자신이 생성하길 원하는 악성파일의 파일명을 lpk.dll로 대체하게 된다. 아래의 그림을 참고한다면 좀 더 쉽게 이해할 수 있다.

                                 <정상 lpk.dll 파일>                                    <악성 lpk.dll 파일>

3. 예방 조치 방법

lpk.dll 과 관련한 악성파일은 경우에 따라 정상 파일인 Usp10.dll 파일명을 차용하여 자신의 복사본을 다수의 폴더에 생성할 수 있다. 이러할 경우 일반 사용자들이 해당 파일들을 모두 찾아서 대응하기에는 어려운점이 많을 수 있다. 아래의 링크로 이동해보면 "2. 감염 경로 및 증상" 항목의 하단 부분에 악성 lpk.dll, usp10.dll 파일들에 대한 구분 및 임시 대처 방법이 있으니 참고할 수 있도록 하자.
  

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]

http://erteam.nprotect.com/130
  

위에서 설명한 글과 같이 최근 악성파일 제작들은 악성파일의 손쉬운 유포를 위해 사회적 관심사, 인증된 기관이나 업체의 모듈명 사용 등 일종의 사회공학 기법을 주로 사용한다. 어느샌가부터 사회공학 기법을 통한 악성파일 유포가 트랜드를 이루게 되면서 이제 사용자들은 안전한 PC사용을 위해 스스로 관심을 가지고 주의를 기울이는 것이 보안 위협에 대비하는 가장 최선의 방법이 되었다.

다만, 악성파일 제작자들은 일반 사용자들의 예측 가능 범위를 초월하는 방법으로 갖가지 기법이나 악성파일들을 지속적으로 만들어내기에 기본적으로 아래와 같은 보안 관리 수칙을 준수하는 것이 보안 위협으로부터 좀 더 안전할 수 있는 최선의 방법이라 할 수 있다.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부파일 다운로드 자제

4. 메신저나 SNS를 통한 URL 접속 시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect