본문 바로가기
악성코드 정보

V3 실행 여부에 따른 imm32.dll 패치 방식의 변화

by 알 수 없는 사용자 2011. 10. 27.

몇 년 전부터 인터넷에 존재하는 취약한 웹 사이트들을 악용하여 온라인 게임의 사용자 정보를 유출하는 악성코드들이 다수 유포되기 시작하였다.

과거에는 단순하게 사용자의 키보드 입력이나 웹 페이지 입력 정보들만을 가로채어 인터넷에 존재하는 특정 시스템으로 전송하는 트로이목마 형태였다. 그러나 최근에는 윈도우 시스템에 존재하는 정상 시스템 파일들의 특정 부분을 악성코드를 실행시키는 코드로 변경하는 패치(Patch) 형태로 유포되고 있다.

최근 발견된 온라인 게임 관련 악성코드들을 분석하는 과정에서 V3의 설치 및 실행 여부에 따라서 윈도우 시스템 파일 중 하나인
imm32.dll 에 대한 패치 방식이 달라지는 것으로 분석 되었다.

해당 윈도우 시스템 파일인
imm32.dll 파일을 패치하는 악성코드는 먼저 감염된 시스템에서 V3 관련 프로세스가 실행 중인 것을 아래 이미지와 같이 확인한다.


그리고 정상 윈도우 시스템 파일인 imm32.dll의 파일명을 imm32A.dll로 변경 한 이후에 자신의 코드 전체를 덮어 쓰게 된다.


해당 파일에 덮어쓰기가 완료하게 되면 익스포트(Export) 함수 포워딩(Forwarding)을 이용하여 악성코드 자신의 코드를 실행하게 된다.


만약 감염된 시스템에 V3가 설치 되어 있지 않다면 정상 윈도우 시스템 파일인 imm32.dll의 파일에 PE 섹션 2개 ".rsrc1"".mdata"를 생성하여 패치하게 된다.


그리고 악성코드 자신은 nt32.dll라는 파일명으로 생성하여 실행되도록 구성되어 있다.

이와 같이 보안 제품의 설치 여부에 따라 다른 방식으로 정상 윈도우 시스템 파일을 패치하게 된다면 보안 제품의 입장에서는 감염 시스템들의 다양한 환경 변수들을 고려해야 되는 어려운 문제가 발생하게 된다.

이와 같이 보안 제품의 설치 여부에 따라 다른 방식으로 감염 원리를 가진 악성코드들은 V3 제품군에서 다음과 같이 진단 및 치료하게 된다.

Win-Trojan/Patched.CR
Dropper/Onlinegamehack.80384.D
Win-Trojan/Onlinegamehack.69632.FI

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글