반응형
2009년 11월 부터 발견되어 현재까지도 꾸준히 업데이트하는 악성코드가 있다.
바로 imm32.dll 이다.
imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<imm32.dll 정상파일 정보>
4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180
7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512
4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180
7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512
- 현재까지 변종으로 나온 Section Table(ss32, s32, sy32, rs64 발견 된 순서이다.)
변조 된 imm32.dll은 Loader의 역활을 하며, Load 시키는 악성코드는 다음과 같다.
C:\WINDOWS\system32\kb6.dll
C:\WINDOWS\system32\ole.dll
자신의 PC에 해당 파일이 있다면, 이건 100%!!
빨리 보안프로그램으로 실행하여야 한다!!
해당 악성코드에 감염되지 않으려면?
1. imm32.dll을 변조시키는 악성코드는 Windows 취약점에서 발생되기 때문에 Windows 보안업데이트를 항상 최신으로 설치
2. 국내에 운영되는 보안업체들은 해당 imm32.dll을 대부분 탐지하고 있기 때문에 보안프로그램을 항상 최신으로 유지
3. 보안프로그램의 실시간 감시를 항상 On 하여 사용
- 관련글
'IT 보안소식' 카테고리의 다른 글
| Bkis Global Task Force Blog, Lnk Exploit Analysis and Detect Tool (0) | 2010.07.22 |
|---|---|
| [SpamMail] "declined deposit report" 제목으로 전파 되는 메일 주의!! (0) | 2010.07.19 |
| 알약(ALYac), 윈도우 쉘(Shell) 취약점으로 인한 원격코드 실행 문제점 (0) | 2010.07.19 |
| MSN 메신저로 전파되는 피싱사이트 - "나는 현재 알몸이다!!" (0) | 2010.07.19 |
| 사용자 ID/패스워드를 일본으로 유출시키는 악성코드 변종 발생(2010-07-16) (2) | 2010.07.16 |
댓글