본문 바로가기
악성코드 정보

윈도우 시스템 파일을 변조하는 악성코드 주의

by 알 수 없는 사용자 2011. 6. 1.
1. 서론
최근 lpk.dll, imm32.dll 등 윈도우 중요 시스템 파일을 변조하는 악성코드가 국내 다수의 사이트에서 유포되고 있어 주의 차원에서 해당글을 작성합니다.


2. 전파 경로
해당 악성코드는 웹사이트를 통해 윈도우 및 기타 어플리케이션 취약점을 통해 전파되며 이때 이용되는 취약점은 주로 아래와 같습니다.

Adobe Flash Player 취약점 (CVE-2011-0611)
인터넷 익스플로러 취약점 (CVE-2010-0806)

이들 취약점은 모두 가장 최근에 나와 보안 업데이트가 되어 있지 않은 사용자가 많아 다수의 사용자가 해당 악성코드에 감염이 된 것으로 확인되었습니다.


3. 감염 시 나타나는 증상
해당 악성코드 감염 시 특별히 눈에 띄게 나타나는 증상이 없어 사용자가 악성코드 감염을 인지할 수 있는 방법은 힘듭니다. 다만 아래와 같이 파일을 확인하여 감염 여부를 확인할 수 있습니다.

[감염 확인 방법]
1) 내컴퓨터를 실행하여 [도구] - [폴더 옵션] 에서 아래와 같이 설정합니다.


2) 위와 같이 설정 후 C:\Windows\System32 폴더로 이동하여 아래 파일이 존재하는지 확인합니다.

lpk32.dll
숫자13자리.dll
win32.dll
imm32.dll영문숫자.tmp





위 파일들이 존재하면 해당 악성코드에 감염된 것입니다. 추가로 감염 시 V3 및 기타 백신 제품을 사용하고 있는 경우 백신 동작이 정상적으로 되지 않는 증상이 발생하기도 합니다. 이런 경우 역시 감염을 의심해 볼 수 있습니다.


4. 감염 시 조치방법
감염 시 V3 제품을 통해 진단 및 치료가 가능합니다. 만약 치료가 되지 않는 경우 아래 안내해 드리는 전용백신을 이용하여 검사해 보시기 바랍니다.
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe





5. 예방방법
위 전파경로에서 설명드린 취약점에 대한 보안패치를 우선적으로 진행이 되어야 합니다.

1) Adobe Flash Player 는 아래 사이트에서 최신 버전을 다운로드 하여 재설치 하시면 됩니다.
http://get.adobe.com/kr/flashplayer/

2) 인터넷 익스플로러 취약점은 아래 안내해 드리는 방법대로 업데이트를 진행하시기 바랍니다.

[Microsoft Windows 보안 업데이트 방법]
1. 인터넷 익스플로러 실행 합니다.
2. 메뉴에서 [도구] - [Windows Update] 를 선택 합니다.
3. ActiveX를 설치하라는 메세지가 나오면 설치를 진행하시기 바랍니다.
4. [빠른 설치] 버튼을 눌러 업데이트를 하도록 합니다.


댓글