본문 바로가기
IT 보안소식

Win32.Loader.G(imm32.dll) 재탐지 해결방법!!

by 잡다한 처리 2010. 1. 26.
반응형



악성파일로 인하여 변조 된 imm32.dll을 Win32.Loader.G으로 탐지하는 경우가 늘어나고 있다.
문제는 변조 된 imm32.dll을 정상적으로 치료하지 못하여 발생 된 문제로 판단된다.
이전에 imm32.dll 변조파일과 동일하게  섹션에 ss32 Section을 추가하지만, 이전과 코드는 달랐다. 변종으로 판단된다.


이에 수동으로 해결 할 수 있는 방법을 소개한다.
1. C:\WINDOWS\system32 폴더로 이동

2. 변조 된 imm32.dll 이름을 수정(ex, ~imm32.dll)
(참고, 정상적인 imm32.dll은 C:\WINDOWS\system32\imm32.dll.bak 파일로 백업된다.)

3. 변조 된 imm32.dll 이름을 수정하면, Windows에서 자동적으로 정상적인 imm32.dll로 새로 복사한다.

4. C:\WINDOWS\system32 폴더에 kb6.dll이 있는지 확인 후 이전과 같이 파일이름을 수정한다.
   (ex, ~kb6.dll)

5. 4번까지 완료 되었으면 재부팅 한다.


(참고사항)
현재 imm32.dll과 kb6.dll을 생성시키는 exe파일은 발견되지 않았지만, 
kb6.dll을 자동으로 사용하기 위해서, 변조 된 imm32.dll 내부코드에 kb6.dll을 호출하는것으로 보인다.

- kb6.dll은 온라인게임의 계정을 탈취 하는 스파이웨어로 판단된다.
(내부 스트링에 던전앤파이터와 메이플스토리의 프로세스를 확인하는 코드가 포함되어 있다)

댓글