예전에 제가 악성코드 샘플을 구한 것 중에서, 특히 Onlinegamehack Malware 중에 감염된 usp10.dll, lpk.dll을 특정 폴더에 계속 생성하는 일종의 온라인게임핵 악성코드가 있었습니다. 제 기억으로는 C:\Program Files\Internet Explorer\에서 부터 시작해서 시스템 여기저기로 옮겨가는 악성코드였습니다. 



** 네이버의 seohyun_must와 여기 intumyself.tistory.com 주인장은 동일 인물입니다.

저작권 드립하지마세요.



사실 이건 뒷 이야기고 당시 usp10.dll lpk.dll이 계속 생성되는 악성코드가 유행이었고 그 당시 국산 백신이 치료를 못하자 '시작 - 실행 - cmd - del usp10.dll lpk.dll /a /s'을 해서 시스템 내에 있는 모든 usp10.dll, lpk.dll을 삭제하는 방법이 많이 통용이 되었습니다. 



<Del usp10,dll lpk.dll /a /s 명령어>



그 결과 현재까지 del usp10.dll lpk.dll /a /s가 온라인게임핵 악성코드의 주범을 치료하는 것처럼 보여졌습니다. 심지어 몇 개 이상 지우거나 몇 개만 두는게 정상이라는 이야기도 블로그라든가 지식in, 카페 등에서 아무런 책임도 없이 올리고 있습니다.



<네이버 블로그에서 올라오고 있는 방법론>



<카페에도 아무런 책임감 없이 올라오고 있는 치료법>



<웹 사이트별로 퍼져있는 치료법들..>




더불어 추가적으로 한 발 더 나가서 imm32.dll, ws2help.dll까지 확장하여 del usp10.dll lpk.dll imm32.dll ws2help.dll midimap.dll version.dll /a /s을 하는 케이스까지 있습니다. 


 하지만 'del usp10.dll lpk.dll /a /s' 해당 방법은 결코 usp10.dll lpk.dll 치명적인 약점이 있습니다. 


1) usp10.dll, lpk.dll이 악성코드인지 정상파일인지 구분할 방법이 없다. usp10.dll, lpk.dll은 윈도우 보안 업데이트, Microsoft Office와 연계된 파일이어서 흔히 정상파일이 위치한 폴더로 일컫는 C:\Windows\System32\ 외에도 C:\Program Files에도 있는 파일들입니다. 



따라서 아무런 생각도 없는 'del usp10.dll lpk.dll /a /s'은 악성코드와 정상파일을 구분하지 못하며 오히려 정상파일까지 지워버릴 가능성이 높습니다. 따라서 정상파일과 악성코드를 구분할 기능이 있는 백신으로 진단 / 치료하는 쪽이 좋습니다.




2) 해당 방법은 현재에는 유효하지 않는 방법입니다. 즉 구식이라는 거죠. 구식이기에 이미 백신사들은 그 악성코드를 분석해서 이미 엔진에 넣은 상태이고, 더불어 최근 온라인게임핵 악성코드의 경향은 변조와 특정 파일의 생성, 루트킷을 기반으로 움직여 결코 del usp10.dll lpk.dll /a /s 방식으로는 변조, 생성된 악성코드를 삭제할 수 없으며 결코 과거처럼 포스트 처음에 언급한 usp10.dll lpk.dll 악성코드와 같이 움직이지 않습니다. 




이제 온라인게임핵 의심이 되면 무조건 del usp10.dll lpk.dll /a /s하라는 방법은 이제는 더 이상 통용되지도 않고 오히려 시스템 내에 잠재적 악영향을 끼칠 수 있는 이 del usp10.dll lpk.dll /a /s 악성코드 치료법은 사라져야 할 때입니다. 악성코드 치료는 가급적 백신으로 해결해주시기 바랍니다.



혹여 온라인게임핵에 감염되어 의심스러운 분들은 아래의 무료백신을 추천하니 아래 참조글에서 입맛에 맞는 백신을 골라 다운받아주시기 바랍니다.


참조 : 10종 무료백신 간단 평가 및 다운로드(알약, V3 Lite, 네이버 백신, Avast, Antivir 등)


Posted by Ec0nomist

댓글을 달아 주세요

  1. 틀리셨습니다

    윈도우에선 필수 파일들은 attrib 으로 인하여 보호하고 있습니다

    실제로 저 명령어를 돌려보면 지워지지 않는 파일들이 있는데 그것이 원본이고
    지워지는 것이 해킹툴인것입니다.

    2014.04.09 12:51 [ ADDR : EDIT/ DEL : REPLY ]
    • 무슨 정보에 근거하고 덧글 쓴건지는 모르겠지만 윈도우 필수 파일이 attrib에 의해 보호받는다는건 무슨 얘긴지 모르겠고... 예. attrib는 그냥 파일의 속성을 변경해주는 명령어지 파일을 보호해주는 명령어는 아닙니다.

      그리고 위의 언급한 파일이 지워지지 않는게 원본이고 나머지는 해킹툴이라는 이분법적인 정보는 어디서 들어셨나요?? 포스트에서도 언급했다시피 바이러스가 없는 조건 하에서 usp10.dll이 나왔고. 이는 정상파일임을 입증한건데 무조건 지정된 경로 외의 파일들은 다 악성코드라고 하는건 여전히 '틀리셨습니다' 님은 10~11년대 컴퓨터 지식을 가지고 있는 것 밖에 되지 않습니다.

      인터넷에서 제대로 된 정보를 얻으시길 바랍니다.

      2014.04.09 13:15 신고 [ ADDR : EDIT/ DEL ]
  2. 지나가다

    좋은 정보네요. 위에 "틀리셨습니다." 라는 분은 잘 못 알고 계시네요. 상기 파일들은 그 기능의 특성상 다른 프로그램에서 사용될 수도 있으며 해당 프로그램들의 종속관계가 실행중인 상황이 아닐경우 상기와 같은 명령어로 다른파일들 까지 삭제하는 안좋은 상황을 일으킬 수 있습니다.

    2014.12.31 09:43 [ ADDR : EDIT/ DEL : REPLY ]