최신 보안 동향

v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요

TACHYON & ISARC 2011. 5. 17. 14:58
1. 개 요


최근 온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일이 국내에 다량 유포되고 있는 것으로 확인되었다. 그중 정상파일인 "lpk.dll" 파일명을 사용하는 악성파일의 변종 유포가 매우 활발히 이루어지고 있으며, 최초 감염을 유발하는 숙주파일의 파일명으로 국내 유명 백신 업체의 파일명을 도용하는 악성파일이 발견되어 사용자들의 각별한 주의가 필요한 상황이다.


위와 같은 경우 일반 사용자들은 감염 사실을 파악하기가 매우 어려워 지속적인 감염 상황이 발생할 수 있다. 온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일은 다수의 사용자들을 대상으로 금전적 피해를 유발할 수 있는만큼 이번 글을 통해 이와 같은 유형의 악성파일에 대해 살펴보고 혹시 있을지 모를 피해에 미리 대비할 수 있도록 하자.

2. 감염 경로 및 증상

온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일은 다수의 유포를 위해 다양한 유포경로를 가질 수 있다. 주로 취약점을 가지는 웹 사이트에 해당 악성파일에 대한 다운로드가 가능하도록 변조를 하는 방법이 있으며, 이메일의 첨부파일 형태나 인스턴트 메신저 혹은 단축 주소와 같은 변환 주소의 링크 등 유포 경로가 매우 다양할 수 있다.

온라인 게임 계정 정보 탈취 목적의 악성파일중 최근 가장 유포 빈도가 높은 악성파일은 이미 블로그에서 언급한바 있는 "lpk.dll" 파일명을 이용한 악성파일이다.
  

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]

http://erteam.nprotect.com/130
  

위와 같은 악성파일 유포 및 감염 유발을 위해 제작자들은 일반 사용자들이 쉽게 현혹될 수 있는 방법을 동원하는 것이 일반적이다.
이번에 발견된 악성파일은 아래의 그림과 같이 일반 사용자들을 현혹 시키기 위해 해당 악성파일의 파일명을 국내 유명 백신사의 파일명으로 위장하였다.

단지 파일명을 국내 유명 백신사의 파일명으로 위장하였을 뿐이지만, 최근 파일명, 아이콘, 파일의 속성 정보 등을 위장하는 경우가 많으니 사용자들은 웹 사이트 등을 통한 파일 다운로드 시 각별히 주의할 수 있도록 하자.

해당 악성파일을 실행할 경우, 곧바로 온라인 게임 계정 정보 탈취 등을 시도할 수 있는 악성파일에 대한 감염이 이루어질 수 있으며, 파일명은 정상 파일명과 동일한 "lpk.dll"을 사용한다.

※ 생성 파일

 - C:\Program Files\%TOOYUAMER%\66621.exe (33,629,048 바이트)
 - (윈도우 시스템 폴더)\lpk.dll (47,250 바이트)
 - (윈도우 시스템 폴더)\lpk32.dll (22,016 바이트) -> 정상 lpk.dll 파일

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

위에서 설명한 "※ 생성 파일" 부분을 살펴보면 lpk32.dll 이란 파일이 생성된 것을 알 수 있다. 해당 파일은 엄밀히 말하자면 생성 파일이라기 보단 파일명이 변경되었다라고 보는 것이 맞다.

해당 악성파일에 감염될 경우 정상 lpk.dll 파일을 lpk32.dll로 그 파일명을 변경한 후 자신이 생성하길 원하는 악성파일의 파일명을 lpk.dll로 대체하게 된다. 아래의 그림을 참고한다면 좀 더 쉽게 이해할 수 있다.

                                 <정상 lpk.dll 파일>                                    <악성 lpk.dll 파일>

3. 예방 조치 방법

lpk.dll 과 관련한 악성파일은 경우에 따라 정상 파일인 Usp10.dll 파일명을 차용하여 자신의 복사본을 다수의 폴더에 생성할 수 있다. 이러할 경우 일반 사용자들이 해당 파일들을 모두 찾아서 대응하기에는 어려운점이 많을 수 있다. 아래의 링크로 이동해보면 "2. 감염 경로 및 증상" 항목의 하단 부분에 악성 lpk.dll, usp10.dll 파일들에 대한 구분 및 임시 대처 방법이 있으니 참고할 수 있도록 하자.
  

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]

http://erteam.nprotect.com/130
  

위에서 설명한 글과 같이 최근 악성파일 제작들은 악성파일의 손쉬운 유포를 위해 사회적 관심사, 인증된 기관이나 업체의 모듈명 사용 등 일종의 사회공학 기법을 주로 사용한다. 어느샌가부터 사회공학 기법을 통한 악성파일 유포가 트랜드를 이루게 되면서 이제 사용자들은 안전한 PC사용을 위해 스스로 관심을 가지고 주의를 기울이는 것이 보안 위협에 대비하는 가장 최선의 방법이 되었다.

다만, 악성파일 제작자들은 일반 사용자들의 예측 가능 범위를 초월하는 방법으로 갖가지 기법이나 악성파일들을 지속적으로 만들어내기에 기본적으로 아래와 같은 보안 관리 수칙을 준수하는 것이 보안 위협으로부터 좀 더 안전할 수 있는 최선의 방법이라 할 수 있다.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부파일 다운로드 자제

4. 메신저나 SNS를 통한 URL 접속 시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.