2013년 3월~4월경부터 국내 인터넷 사용자를 대상으로 유포되고 있는 Backdoor/Win32.Lapka 악성코드는 보안 제품을 통한 치료 후 시스템 재부팅을 할 경우 감염 초기 상태로 디스크 복원을 시키는 기능을 가지고 있습니다.
▷ 디스크 복원 기능을 가진 악성코드 유포 (2013.4.29)
감염된 사용자의 경우 감염 사실을 가진 빠르게 확인할 수 있는 방법으로는 "(내) 컴퓨터"에 표시된 하드 디스크 드라이브 아이콘에 회전하는 화살표 모양이 표시되는 경우 감염으로 의심할 수 있습니다.
이렇게 감염된 환경에서는 시스템 시작시마다 사용자 시스템에서 자동 실행되는 특정 서비스 프로세스에 붙어 미국(USA)에 위치한 "1000.ggxiaozi.com(199.241.189.10 :8699)" 서버로 통신을 지속적으로 시도하는 동작을 확인할 수 있으며, 이를 통해 차후 공격자의 다양한 명령에 따라 추가적인 악성 파일 다운로드 및 정보 유출이 발생할 수 있습니다.
현재 알려진 해당 악성코드 유포 방식은 이메일 또는 블로그 첨부 파일 또는 국내 애드웨어(Adware) 계열을 통해 이루어지는 것으로 보이며, 감염시 안랩(AhnLab)에서 제공하는 "Lapka Rootkit 전용 백신"을 이용하여 치료하는 방법을 살펴보도록 하겠습니다.
테스트를 위해 샘플을 제공해주신 "바이러스 제로 시즌 2 카페 매니저(ViOLeT)"님께 감사드리며, 해당 악성 파일(MD5 : 88efc30b718278343aa5dea56feb0d5b)에 대하여 AhnLab V3 보안 제품에서는 Backdoor/Win32.Lapka (VT : 33/46) 진단명으로 진단되고 있습니다.
참고로 해당 악성코드에 감염된 경우 USB 저장 매체 또는 공유 폴더 등을 통해 전파가 이루어질 수 있으므로 주의가 요구됩니다.
(1) 안랩(AhnLab)에서 제공하는 Lapka Rootkit 전용 백신을 다운로드 및 실행하여 "검사" 버튼을 클릭하시기 바랍니다.(※ 검사 및 치료시에는 다른 응용 프로그램을 절대로 실행하지 마시기 바랍니다.)
전용 백신을 통해 검사를 해보면 모든 폴더마다 lpk.dll 악성 파일을 생성하며, 기존에 알려진 Passsthru Miniport Driver 파일(passthru.sys)와 DiskFilter Dirver 파일(diskflt.sys)을 통해 루트킷(Rootkit) 방식으로 디스크 복원 및 백도어(Backdoor) 기능을 위한 환경을 구축한 것으로 보입니다.
- C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\hrl(숫자).tmp (AhnLab V3 : Win-Trojan/Lapka.21299)
- C:\WINDOWS\lpk.dll (AhnLab V3 : Win-Trojan/Lapka.222208)
- C:\WINDOWS\system32\Black.dll (AhnLab V3 : Win-Trojan/Lapka.222208)
- C:\WINDOWS\system32\drivers\diskflt.sys (AhnLab V3 : Win-Trojan/Redflt.9462)
- C:\WINDOWS\system32\drivers\passthru.sys (AhnLab V3 : Win-Trojan/Netpass.15360)
(2) 검사가 완료되면 "전체 치료" 버튼을 클릭하면 AkLapkaNt.sys 파일을 로드(Load)할 것인지 묻는 창이 생성되므로 반드시 "예(Y)" 버튼을 클릭하시기 바랍니다.(※ 시스템 감염으로 인하여 커널(Kernel) 모드로 동작하는 프로그램의 동작시 발생합니다.)
치료를 위해서는 반드시 시스템 재부팅을 해야 하므로 안내에 따라 "확인" 버튼을 클릭하시기 바랍니다.
(3) 시스템 재부팅이 이루어진 이후 "(내) 컴퓨터"의 하드 디스크 드라이브 아이콘 모양을 확인해보면 감염 이전의 정상적인 모양으로 돌아온 것을 확인할 수 있습니다.(※ 디스크 복원 기능은 해결이 되었다는 의미입니다.)
이 과정에서 사용자가 사용한 "Lapka Rootkit 전용 백신"이 삭제 처리가 되었으므로 다시 한 번 전용 백신을 다운로드 및 실행하여 재검사를 진행하시기 바랍니다.
전용 백신을 통해 재검사를 진행하면 시스템에 존재하는 나머지 악성 파일에 대한 진단이 이루어지며, 이전과 같이 "전체 치료" 버튼을 클릭하시기 바랍니다.
치료시에는 시스템 재부팅을 요구하며 재부팅 후에 전용 백신을 통해 재확인을 해보면 깨끗하게 악성 파일이 치료된 것을 확인할 수 있습니다.
앞서 말한 것처럼 감염된 환경에서 사용자가 USB, 외장 하드, 공유 폴더 등을 통한 연결이 있을 경우 lpk.dll 악성 파일이 해당 저장 장치(폴더)에 생성되어 확산이 될 수 있습니다.
그러므로 전용 백신을 통한 치료를 통해 문제가 해결된 후에는 다른 파티션 및 외부 저장 매체도 정밀 검사를 해 보시기 바랍니다.
이번 악성코드의 경우에는 지속적인 시스템 감염 상태를 유지하기 위하여 기존에 알려진 디스크 복원 기술을 악용하고 있으며, 치료 후에도 시스템 재부팅시마다 감염 상태로 복원되는 문제로 수동으로 치료하는데 어려움이 있으므로 이런 악성 파일에 감염되지 않도록 각별히 주의하시기 바랍니다.