반응형
악성파일로 인하여 변조 된 imm32.dll을 Win32.Loader.G으로 탐지하는 경우가 늘어나고 있다.
문제는 변조 된 imm32.dll을 정상적으로 치료하지 못하여 발생 된 문제로 판단된다.
이전에 imm32.dll 변조파일과 동일하게 섹션에 ss32 Section을 추가하지만, 이전과 코드는 달랐다. 변종으로 판단된다.
이에 수동으로 해결 할 수 있는 방법을 소개한다.
1. C:\WINDOWS\system32 폴더로 이동
2. 변조 된 imm32.dll 이름을 수정(ex, ~imm32.dll)
(참고, 정상적인 imm32.dll은 C:\WINDOWS\system32\imm32.dll.bak 파일로 백업된다.)
3. 변조 된 imm32.dll 이름을 수정하면, Windows에서 자동적으로 정상적인 imm32.dll로 새로 복사한다.
4. C:\WINDOWS\system32 폴더에 kb6.dll이 있는지 확인 후 이전과 같이 파일이름을 수정한다.
(ex, ~kb6.dll)
5. 4번까지 완료 되었으면 재부팅 한다.
(참고사항)
현재 imm32.dll과 kb6.dll을 생성시키는 exe파일은 발견되지 않았지만,
kb6.dll을 자동으로 사용하기 위해서, 변조 된 imm32.dll 내부코드에 kb6.dll을 호출하는것으로 보인다.
- kb6.dll은 온라인게임의 계정을 탈취 하는 스파이웨어로 판단된다.
(내부 스트링에 던전앤파이터와 메이플스토리의 프로세스를 확인하는 코드가 포함되어 있다)
'IT 보안소식' 카테고리의 다른 글
| 애플 타블렛 발표에 따른 악성코드 발견(Apple Tablet Announcement January 2010) (2) | 2010.01.28 |
|---|---|
| 구글 크롬 4.0 업데이트 (4) | 2010.01.27 |
| Hallmark를 가장한 E-Card 스팸메일 (0) | 2010.01.26 |
| 알약, 악성코드 확산으로 인한 IE 긴급 패치 권고 (0) | 2010.01.25 |
| 옥션, 보안솔루션 "옥션 V3 365" 다운로드 시작!! (2) | 2010.01.25 |
댓글