[정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!!

최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다.

하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 변종이여서 기록용으로 포스팅을 한다.

imm32.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 요즘 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<정상파일 정보>
파일명 : imm32.dll(Windows XP IMM32 API Client DLL)
파일위치 : C:\Windows\system32 

4A489C2C47F64541005EDB79149B3495,110080(XP SP2) - 5.1.2600.2180 
7DC8A392C09DDF8C8FB1AA007D19D98B,110080(XP SP3) - 5.1.2600.5512

- 추가 된 섹션테이블(Section Table)

- 변조된 imm32.dll은 다른 악성파일을 로드시키는 역할을 하며, 로드시키는 악성코드는 다음과 같다.

C:\WINDOWS\system32\win32.dll 를 생성하여 변조된 imm32.dll이 로드되면 win32.dll로 같이 로드한다.
 

자신의 PC에 해당 파일이 있다면 감염 된 것으로 보고, 

최신DB로 업데이트 된 보안 프로그램을 실행하여 치료하길 바란다.

- 악성파일 행위

사용자의 정보를 가로채는 행위를 하며 감시 프로세스는 다음과 같다.
dnf.exe

MapleStory.exe

lin.bin

ff2client.exe

heroes.exe

Game.exe

ExLauncher.exe

TERA.exe

OTP

AION.bin

DarkBlood.exe

(참고사항)
추가로 이번 파일은 Win32.Parite에 감염된 채로 유포되어 사용자는 "감염 바이러스 + 온라인게임 스파이웨어" 를 함께 셋트로
전달하고 있어 좀 더 주위해야한다. (다행스럽게 알약에서는 탐지를 잘 하고 있으니^^ 걱정안하셔도 될 듯)

간단하게 Win32.Parite 에 대해서 알아보자(전용백신 다운로드)

Win32.Parite는 감염형 바이러스로써 .scr, .exe 파일을 찾아 감염시킨다.

특징적으로 %TEMP%폴더(C:\Documents and Settings\[사용자]\Local Settings\Temp)에 (랜덤).tmp파일을 생성시켜

explorer 프로세스에 인젝션되어 지속적으로 바이러스를 증가시킨다. 

- 관련글
2011/04/18 - [악성코드소식] - [정상파일변조] 변조된 사이트를 이용한 정상파일(midimap.dll)을 수정하는 악성파일 주의!!
2011/01/05 - [악성코드소식] - 홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조)
2010/11/13 - [악성코드소식] - 익스플로러(Internet Explorer) 0-Day 취약점을 이용한 국내사이트 유포 주의!!
2010/07/19 - [악성코드소식] - 변조 된 imm32.dll파일에 추가된 "rs64 New Section"
2010/01/26 - [악성코드소식] - Win32.Loader.G(imm32.dll) 재탐지 해결방법!!
2009/11/17 - [악성코드소식] - imm32.dll을 변경시키는 스파이웨어 발견!!