국내 온라인 게임 사용자의 계정정보 탈취를 목적 으로 하는 악성파일 유포 사례가 다수 확인되어 지고 있다. 또한, 해당 악성파일은 윈도우 정상 시스템 파일인 imm32.dll 파일을 새로운 형태의 악성파일로 교체하거나 생성하는 기법 등을 사용하는 것으로 확인되어 졌다. 오늘은 이러한 악성파일에 대하여 간단하게 알아 보도록 하자.
2. 감염 방식 및 감염 증상
정상 imm32.dll 패치와 관련한 악성파일 감염 및 유포사례는 최근까지도 빈번하게 발견되고 있으며, 그 기법 또한 다양한 방식을 취하고 있다. 그러나 이러한 악성파일의 최종적인 목적 수단은 사용자 계정정보 탈취에 따른 금전적 취득을 주요 목적으로 삼고 있음을 예측할 수 있다.
그중 최근 유포되어진 악성파일의 경우 특정 웹 페이지 열람시 발생되어진 IE 취약점으로 부터 최초 감염이 발생하게 되며 이로인한 정보유출이 추가적으로 발생하게 된다.
현재 해당 악성파일은 특정 웹페이지로 부터 Redirect 되어진 상태이며 아래의 그림은 현재까지도 유포가 진행중인 악성파일이다.
다운로드 되어진 "aa.exe" 악성파일이 실행될 경우 다음과 같은 경로에 추가적인 악성파일이 생성되게 된다. 또한, 이과정에서 정상 imm32.dll 을 다른 이름으로 백업하게 되고 패치하는 과정이 발생하게 된다.
정상적으로 패치가 완료 되어진 imm32.dll 악성파일은 로딩 과정을 거쳐 특정 백신에 대한 무력화 및 사용자 계정 정보유출을 시도하게 된다.
C:\WINDOWS\system32\imm32.dll (86,016 바이트, 악성)
C:\WINDOWS\system32\imm32B.dll (86,016 바이트, 악성)
C:\WINDOWS\system32\imm32A.dll (110,080 바이트, 정상)
※ 정상 imm32.dll 와 악성 imm32.dll 비교 정보
※ 악성파일 동작 방식 및 imm32.dll 패치 과정
3. 예방 조치 방법
이와 같은 악성파일 감염으로 부터 내 PC를 보다 안전하게 보호하기 위해서는 다음과 같은 사전 예방수칙 및 사용자의 각별한 주의와 보안의식이 필요하다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 특정 웹 사이트를 통하여 다운로드 받아진 파일에 대하여 검증절차 없이 실행할 경우 주의를 기울이도록 한다.
3. 신뢰할 수 있는 보안 업체로 부터 제공 가능한 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트 적용하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 활성화 하여 사용하도록 권장하는 바이다.
현재 imm32.dll 패치형 악성파일과 관련하여 nProtect Anti-Viurs 제품군에서는 모두 진단 치료가 가능하며, 잉카인터넷 대응팀 에서는 지속적으로 발생 가능한 신종 및 변종 악성파일 위협으로 부터 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
페이스북(Facebook) 담벼락 자동 게시 앱(Application) 설치 주의 (0) | 2011.04.19 |
---|---|
웹 브라우저 취약점을 이용하여 유포되어지는 악성파일 주의 (0) | 2011.04.19 |
Adobe 응용 프로그램 취약점을 이용하여 유포 되어지는 악성파일 주의 (2) | 2011.04.12 |
해외 유명 백신 설치본으로 위장한 악성파일 발견 주의 필요 (1) | 2011.04.05 |
리비아 반정부 시위 사태 관련 정보제공 사이트, 악성파일 유포 주의 (0) | 2011.04.04 |