정상적인 시스템 파일의 이름만 바뀌어 사용되는 악성코드가 발견되었으며,
이전에 포스팅 하였으나 이름 정보가 변경되어 기록용으로 포스팅 한다.

이와 유사한 악성코드로는 imm32.dll, ws2help.dll 등이 있다.
모두 온라인 게임 계정 탈취를 목적으로 하는 악성코드 이며, 대부분 유명 게임들이 여기에 속해 있다.


<정상파일정보>
  - 위치:  C:\WINDOWS\system32\
  - 파일명: lpk.dll --> lpk32.dll  (악성코드에 감염이 되면 정상적인 파일의 이름을 변경함)
  - 파일크기: 22KB

<악성파일정보>
  - 위치:  C:\WINDOWS\system32\
  - 파일명: lpk.dll (정상적인 파일인 것처럼 위장함)
  - 파일크기: 32MB


위에서 보는거와 같이 악성코드에 감염이 되면 정상적인 시스템 파일인 lpk.dll 을 lpk32.dll 로 변경하고,
자신은 정상적인 파일인 lpk.dll 로 생성이 되어 위장한다.



- 정상파일과 악성파일의 차이점을 확인 해보자




위의 그림을 확인 해보면 정상파일과 악성파일의 다른 점을 확인 할 수 있다.
정상파일은 Language Pack 로 되어 있으며 악성파일은 regsetup 로 되어 있다.


자신의 PC에 lpk32.dll 이 생성되어 있다면 일단 의심 해보자~!




- 해당 악성파일이 감시하는 프로세스는 다음과 같다
  PCOTP.exe
  lin.bin
  FF2Client.exe
  MapleStory.exe
  dnf.exe
  iexplore.exe
  mapleotp
  item
  dfotp


- 계정 탈취하는 온라인 게임
  FIFA
  피망
  메이플스토리
  메이플OTP
  던전앤파이트
  던파OTP



- 해당 사이트 접속 시 계정 정보는 해커의 서버로 전송되며 전송되는 서버는 다음과 같다
  http://www.krshop.info/xxyy/df/mail.asp
  http://www.krshop.info/xxyy/dfotp/mail.asp
  http://www.krshop.info/xxyy/pm/mail.asp
  http://www.krshop.info/xxyy/hg/mail.asp
  http://www.krshop.info/xxyy/mxd/mail.asp
  http://www.krshop.info/xxyy/t1/mail.asp
  http://www.krshop.info/xxyy/mxdotp/mail.asp




<치료하는 방법>
  1. lpk.dll 악성파일 이름을 다른 이름으로 변경한다.
  2. 컴퓨터를 재시작 한 후 변경한 악성파일을 삭제 한다.