Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안

1. 개요

최근 중국에서 제작된 것으로 추정되는 온라인 게임 계정 탈취 악성파일이 국내에 다량 유포되고 있는 것으로 확인되었다. 해당 악성파일은 그 종류도 다양해지고 있으며, 간단한 툴킷 등으로 제작되어 매일 변종에 대한 제작 및 유포가 이루어지고 있다. 많은 종류의 해당 악성파일 중 최근 웜 형태의 감염 증상을 보이며, PC 사용 및 치료에 어려움을 느끼게 하는 종류에 대해 살펴보고 미리 대처할 수 있는 방법에 대해 알아보도록 하겠다.

2. 감염 경로 및 증상

우선 해당 악성파일은 여느 온라인 게임 계정 탈취 악성파일과 마찬가지로 그 발원지가 중국으로 추정되고 있으나 해당 악성파일의 제작자가 체포되지 않고있어 정확한 출처를 밝혀내기에는 어느정도 한계가 있다.

해당 악성파일은 정상 시스템 파일인 "Lpk.dll, Usp10.dll" 등의 파일명을 사용하고 있으며, 최초 감염을 유발하는 숙주 악성파일은 변조된 웹페이지 및 이메일의 첨부 파일이나 SNS(Social Network Service) 혹은 메신저 등을 통한 악성파일 유포 링크 접속으로 다운로드될 수 있다.

최초 감염을 유발하는 숙주파일은 다양한 파일명으로 명명되어 있을 수 있으며, 다운로드 후 감염이 이루어지면 하기와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성파일

 - (윈도우 시스템 폴더)\(임의의 6자리 영문자).exe (숙주파일의 복사본, 서비스로 등록된다.)
 - (윈도우 시스템 폴더)\hra33.dll (Lpk.dll, Usp10.dll 파일 등의 지속적인 생성작업 수행)
 - (모든 폴더)\Lpk.dll
 - (모든 폴더)\Usp10.dll


※ 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

위와 같이 감염 후 생성되는 추가적인 악성파일 중 hra33.dll파일이 숙주 동작을 하여 지속적으로 "Lpk.dll, Usp10.dll" 파일 등을 생성하며, 해당 파일들은 온라인 게임 계정 탈취 등의 동작을 한다. 또한, 감염된 PC와 동일한 IP 대역이거나 혹은 공유 폴더를 사용할 경우 네트워크 웜 형태의 감염 증상을 유발할 수 있다.

또한, 위의 생성파일 부분에 기재한 (임의의 6자리 영문자).exe 파일은 숙주파일의 복사본이며, 하기의 그림과 같이 서비스로 등록되어 PC 부팅 시마다 실행될 수 있다.

이렇게 온라인 게임 계정 탈취, 네트워크 웜과 같은 감염 형태를 보이는 "Lpk.dll, Usp10.dll" 파일 등은 아래의 그림과 같이 정상파일과 동일한 파일명을 가져 일반 사용자들은 육안으로 구별이 어려울 수 있다.

◆ "Lpk.dll, Usp10.dll" 파일에 대한 정상/악성 구분과 임시 대처 방법

아래의 설명과 같이 "Lpk.dll, Usp10.dll" 파일에 대한 정상/악성파일의 구분이 몇 가지 간단한 정보에 의해 어느 정도 가능하다.

※ "Lpk.dll, Usp10.dll" 정상파일과 악성파일의 차이점

1. 정상파일은 "윈도우 시스템 폴더", "윈도우 시스템 폴더\dllcache" 폴더에만 존재한다.
  - Usp10.dll 파일은 설치된 프로그램에 따라 다른 폴더에도 존재할 수 있다.

2. 정상파일과 악성파일은 사이즈에서 확연한 차이를 보인다.
  - 정상 Lpk.dll (대략 22KB, 22,016 바이트)
  - 악성 Lpk.dll (대략 88KB, 89,600 바이트) 
  - 정상 Usp10.dll (대략 397KB, 406,016 바이트)
  - 악성 Usp10.dll (대략 88KB, 89,600 바이트)

※ 악성파일인 Lpk.dll, Usp10.dll 파일은 서로 동일한 파일이다.

※ 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

위에서 설명한 차이점을 바탕으로 자신의 PC에 이러한 악성파일이 존재하는지 대부분 확인이 가능하다. 다만, 숨김 속성으로 존재하거나 위의 설명으로 확인에 어려움을 느끼는 경우가 있을 수 있다. 좀 더 손쉽게 확인할 수 있는 방법은 없을까?

윈도우 화면 좌측 하단의 "시작" -> "실행" -> cmd 입력 후 확인 버튼을 클릭하면 명령 프롬프트 창을 볼 수 있다. 그 후 하기의 명령어를 입력하여 "Lpk.dll, Usp10.dll" 파일에 대한 검색을 진행한다.

※ 명령 프롬프트 창 입력 명령어
  - dir lpk.dll usp10.dll /a /s

위와 같은 명령어를 입력하면 C:\(파티션을 나누어 HDD를 사용할 경우 D:\, E:\...등을 순차적으로 검색)에 존재하는 "Lpk.dll, Usp10.dll" 파일에 대한 전체 검색이 가능하며, 위 그림과 같이 검색 결과가 4개 이하로 나온다면 보통 정상이라고 간주할 수 있다.

만일 위와 같은 악성파일이 사용자의 PC에 존재할 경우 백신이 존재하지 않거나 치료가 불가능한 상황이라면 아래의 설명으로 임시적인 대응이 가능하다. 다만, 하기의 설명은 임시적인 방편일 뿐이니 되도록 백신을 이용한 치료를 진행할 수 있도록 하자.

윈도우 화면 좌측 하단의 "시작" -> "실행" -> cmd 입력 후 아래의 명령어를 실행한다.

※ 명령 프롬프트 창 입력 명령어 
  - del lpk.dll usp10.dll /a /s

위와 같이 정상파일은 엑세스 거부 메시지가 출력되고 악성파일은 모두 삭제된다.

3. 예방 조치 방법

위에서 설명한 증상과 임시 대처 방법은 감염 숙주파일에 따라 다를 수 있다. 다만, 해당 악성파일은 특정 악성파일을 지속적으로 생성하는 만큼 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 수행, ▶발신처가 불분명한 이메일에 대한 열람 및 첨부 파일에 대한 다운로드 자제, ▶메신저나 SNS를 통한 URL 접속 시 주의 등은 물론 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON" 상태로 유지하여 사용하는 것이 무엇보다 중요하다고 할 수 있다.

※ 잉카인터넷 대응팀에서는 위와 같이 지속적으로 출현 중인 악성파일에 대해 24시간 관제 작업 등의 대응체계를 유지하고 있으며, Daily 업데이트를 통해 아래의 그림과 같이 진단/치료 기능을 제공하고 있다.