imm32.dll8 패치드(Patched) 형태의 악성코드 변천사 ASEC에서는 그 동안 악성코드에 의해 정상 윈도우(Windows) 시스템 파일을 변조시켜 악의적인 기능을 수행하는 패치드(Patched) 형태의 악성코드에 대한 정보들을 공개하였다. 특히 다양한 온라인 게임의 사용자 정보들을 탈취하는 온라인 게임 관련 트로이목마(OnlineGameHack)에 의해 온라인 게임의 메인 실행 프로세스의 주소 공간에 악성코드인 DLL 파일을 안정적으로 실행시키기 위해 윈도우 시스템의 정상 DLL 파일들을 감염 시키는 형태가 자주 발견되고 있다. 이러한 형태의 악성코드들을 일반적으로 패치드(Patched) 형태의 악성코드라고 불리고 있으며, 현재까지 발견된 악성코드에 의해 사용되는 패치드 기법들을 다음과 같이 정리 할 수 있다. 1. DLL 파일에 악의적인 DLL 파일을 로드.. 2012. 10. 18. MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html.. 2012. 1. 27. Malicious Software, Friday Night Fever~!! 1. 서론 ⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자. 2. 악성코드 유포 사이트 ⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까? 본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다. - 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다. [그림] 악성 스크립트 유포 사이트 - 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다. [그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보 - 이중 마지막 단계인 main.swf 파일을 살펴보자. 최근, Adobe Flash Pla.. 2011. 6. 24. 시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 1. 서론 최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다. 2. 악성코그 감염 경로 해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다. 1) Adobe Flash Player, CVE-2011-0611 위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을.. 2011. 6. 19. 악성코드 유포에 이용된 Adobe Flash Player 취약점 업데이트! 최근 주말에 국내 다수의 사이트에서 윈도우 시스템 파일을 악성으로 변조시키는 악성코드가 유포되었습니다. 유포에 이용된 취약점은 Adobe Flash Player 취약점이며, Adobe 사에서 금일 긴급 보안 업데이트가 이루어 졌습니다. 따라서 아래 사이트를 방문하셔서 업데이트를 꼭! 진행하시기 바랍니다. Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash 상세정보 : http://www.adobe.com/support/security/bulletins/apsb11-18.html 추가로 현재 시스템에 설치된 Adobe Flash Player 버전을 확인하고자 하신다면 아래 메뉴에서 확인해 보시기 바랍니다. Windows 7 : [제어판] - [시스템 및.. 2011. 6. 15. 윈도우 시스템 파일을 변조하는 악성코드 주의 1. 서론 최근 lpk.dll, imm32.dll 등 윈도우 중요 시스템 파일을 변조하는 악성코드가 국내 다수의 사이트에서 유포되고 있어 주의 차원에서 해당글을 작성합니다. 2. 전파 경로 해당 악성코드는 웹사이트를 통해 윈도우 및 기타 어플리케이션 취약점을 통해 전파되며 이때 이용되는 취약점은 주로 아래와 같습니다. Adobe Flash Player 취약점 (CVE-2011-0611) 인터넷 익스플로러 취약점 (CVE-2010-0806) 이들 취약점은 모두 가장 최근에 나와 보안 업데이트가 되어 있지 않은 사용자가 많아 다수의 사용자가 해당 악성코드에 감염이 된 것으로 확인되었습니다. 3. 감염 시 나타나는 증상 해당 악성코드 감염 시 특별히 눈에 띄게 나타나는 증상이 없어 사용자가 악성코드 감염을 인.. 2011. 6. 1. imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 1. 서 론 imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 "imm32.dll을 패치하는 악성코드"에 대한 정보를 업데이트하였다. 2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게? 최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다. Case 1. 정상 imm32.dll -> imm32A.dll로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우 Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼.. 2011. 3. 24. 악성코드로 인한 imm32.dll 파일 변조 조치 가이드 1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다. 2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다. (발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.) 따라서 아래 파일들.. 2010. 5. 12. 이전 1 다음
