정상적인 시스템 파일의 이름만 바뀌어 사용되는 악성코드가 발견되었으며,
이전에 포스팅 하였으나 이름 정보가 변경되어 기록용으로 포스팅 한다.
이와 유사한 악성코드로는 imm32.dll, ws2help.dll 등이 있다.
모두 온라인 게임 계정 탈취를 목적으로 하는 악성코드 이며, 대부분 유명 게임들이 여기에 속해 있다.
| <정상파일정보> - 위치: C:\WINDOWS\system32\ - 파일명: lpk.dll --> lpk32.dll (악성코드에 감염이 되면 정상적인 파일의 이름을 변경함) - 파일크기: 22KB <악성파일정보> - 위치: C:\WINDOWS\system32\ - 파일명: lpk.dll (정상적인 파일인 것처럼 위장함) - 파일크기: 32MB |
위에서 보는거와 같이 악성코드에 감염이 되면 정상적인 시스템 파일인 lpk.dll 을 lpk32.dll 로 변경하고,
자신은 정상적인 파일인 lpk.dll 로 생성이 되어 위장한다.
- 정상파일과 악성파일의 차이점을 확인 해보자
위의 그림을 확인 해보면 정상파일과 악성파일의 다른 점을 확인 할 수 있다.
정상파일은 Language Pack 로 되어 있으며 악성파일은 regsetup 로 되어 있다.
자신의 PC에 lpk32.dll 이 생성되어 있다면 일단 의심 해보자~!
- 해당 악성파일이 감시하는 프로세스는 다음과 같다
| PCOTP.exe lin.bin FF2Client.exe MapleStory.exe dnf.exe iexplore.exe mapleotp item dfotp |
- 계정 탈취하는 온라인 게임
| FIFA 피망 메이플스토리 메이플OTP 던전앤파이트 던파OTP |
- 해당 사이트 접속 시 계정 정보는 해커의 서버로 전송되며 전송되는 서버는 다음과 같다
<치료하는 방법>
1. lpk.dll 악성파일 이름을 다른 이름으로 변경한다.
2. 컴퓨터를 재시작 한 후 변경한 악성파일을 삭제 한다.
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 검색닷컴_DirectKeyword2.exe (0) | 2011.08.05 |
|---|---|
| [악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |
| [악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll (2) | 2011.06.27 |
| [악성코드분석] 광고성 악성코드 분석 (0) | 2011.06.21 |
| [악성코드분석] ws2help.dll 악성파일 분석 (10) | 2011.06.21 |