반응형
최신 보안 패치(Windows, Adobe Flash Player, Oracle JRE)가 이루어지지 않은 PC를 이용하여 감염을 유발하는 웹 사이트에 접속시 자동으로 감염되는 온라인 게임 계정 정보를 수집하는 악성코드 중 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하는 악성코드는 그 동안 많이 발견되고 있습니다.
이번 주에 유포되는 imm32.dll 시스템 파일 패치와 함께 생성되는 wmsdmod32.dll 악성 파일로 인해 일부 시스템 환경에 따라 무한 재부팅 현상 또는 특정 버전의 웹 브라우저가 실행되지 않는 문제를 확인하였습니다.
현재 확인된 환경은 Windows XP SP3 + Internet Explorer 8 환경에서 해당 악성코드에 감염된 경우 Internet Explorer 웹 브라우저가 실행시 동작하지 않는 문제가 발생할 가능성이 있는 것으로 보입니다.
그렇다면 정상적으로 감염된 환경에서는 어떤 동작이 있는지 확인해 보고, 수동으로 해당 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.
참고로 테스트에 사용된 감염을 유발하는 최종 파일(MD5 : 03833103595057e0269df3112ab097e2)은 알약(ALYac) 보안 제품에서 Spyware.OnlineGames.imm (VirusTotal : 5/42) 진단명으로 진단될 예정입니다.
해당 악성코드 감염으로 인하여 Internet Explorer 웹 브라우저 오류 또는 정보 유출 문제를 해결하기 위해서는 다음과 같은 방식으로 해결하실 수 있습니다.
(1) "C:\WINDOWS\system32\imm32.dll" 파일의 확장자명 변경하기
파일 확장자명을 변경하면 윈도우 파일 보호(WFP) 기능을 통해 정상적인 imm32.dll 시스템 파일이 복원이 이루어집니다.
여기에서 중요한 점은 반드시 윈도우 탐색기를 종료한 후 다시 실행하여 imm32.dll 시스템 파일이 정상적으로 복원되었는지 재확인을 하시기 바라며, 복원이 이루어지지 않은 경우 시스템 재부팅을 할 경우 블루 스크린(BSoD) 생성을 통해 무한 재부팅 문제가 발생할 수 있습니다.
(2) "C:\WINDOWS\system32\wmsdmod32.dll" 파일을 삭제하시기 바랍니다.
(3) 윈도우 재부팅 후 "C:\WINDOWS\system32\imm32.dll-Patched" 파일을 삭제하시기 바랍니다.
모든 절차가 완료된 후에는 백신 프로그램을 이용하여 정밀 검사를 추가적으로 하시기 바라며, 해당 악성코드 감염 원인이 보안 패치를 설치하지 않았기 때문이므로 윈도우 보안 업데이트, Adobe Flash Player, Oracle JRE 프로그램을 최신 버전으로 업데이트 하시고 인터넷을 이용하시기 바랍니다.
이번 주에 유포되는 imm32.dll 시스템 파일 패치와 함께 생성되는 wmsdmod32.dll 악성 파일로 인해 일부 시스템 환경에 따라 무한 재부팅 현상 또는 특정 버전의 웹 브라우저가 실행되지 않는 문제를 확인하였습니다.
현재 확인된 환경은 Windows XP SP3 + Internet Explorer 8 환경에서 해당 악성코드에 감염된 경우 Internet Explorer 웹 브라우저가 실행시 동작하지 않는 문제가 발생할 가능성이 있는 것으로 보입니다.
그렇다면 정상적으로 감염된 환경에서는 어떤 동작이 있는지 확인해 보고, 수동으로 해당 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.
참고로 테스트에 사용된 감염을 유발하는 최종 파일(MD5 : 03833103595057e0269df3112ab097e2)은 알약(ALYac) 보안 제품에서 Spyware.OnlineGames.imm (VirusTotal : 5/42) 진단명으로 진단될 예정입니다.
[생성 파일 및 진단 정보]
C:\WINDOWS\system32\imm32.dll :: 패치된 imm32.dll 시스템 파일
※ 해당 파일은 감염시마다 MD5 값이 변경될 수 있습니다.
C:\WINDOWS\system32\Hdksxm.tmp :: 정상 imm32.dll 백업 파일
※ 해당 파일은 (Random).tmp 형태이며, 감염 후 시스템 재부팅을 할 경우 자동으로 삭제됩니다.
C:\WINDOWS\system32\wmsdmod32.dll
- Dr.Web : Trojan.PWS.Gamania.34560 (VirusTotal : 8/43)
※ 해당 파일은 감염시마다 파일 크기가 다릅니다.
C:\WINDOWS\system32\imm32.dll :: 패치된 imm32.dll 시스템 파일
※ 해당 파일은 감염시마다 MD5 값이 변경될 수 있습니다.
C:\WINDOWS\system32\Hdksxm.tmp :: 정상 imm32.dll 백업 파일
※ 해당 파일은 (Random).tmp 형태이며, 감염 후 시스템 재부팅을 할 경우 자동으로 삭제됩니다.
C:\WINDOWS\system32\wmsdmod32.dll
- Dr.Web : Trojan.PWS.Gamania.34560 (VirusTotal : 8/43)
※ 해당 파일은 감염시마다 파일 크기가 다릅니다.
해당 악성코드 감염으로 인하여 Internet Explorer 웹 브라우저 오류 또는 정보 유출 문제를 해결하기 위해서는 다음과 같은 방식으로 해결하실 수 있습니다.
(1) "C:\WINDOWS\system32\imm32.dll" 파일의 확장자명 변경하기
파일 확장자명을 변경하면 윈도우 파일 보호(WFP) 기능을 통해 정상적인 imm32.dll 시스템 파일이 복원이 이루어집니다.
여기에서 중요한 점은 반드시 윈도우 탐색기를 종료한 후 다시 실행하여 imm32.dll 시스템 파일이 정상적으로 복원되었는지 재확인을 하시기 바라며, 복원이 이루어지지 않은 경우 시스템 재부팅을 할 경우 블루 스크린(BSoD) 생성을 통해 무한 재부팅 문제가 발생할 수 있습니다.
(2) "C:\WINDOWS\system32\wmsdmod32.dll" 파일을 삭제하시기 바랍니다.
(3) 윈도우 재부팅 후 "C:\WINDOWS\system32\imm32.dll-Patched" 파일을 삭제하시기 바랍니다.
모든 절차가 완료된 후에는 백신 프로그램을 이용하여 정밀 검사를 추가적으로 하시기 바라며, 해당 악성코드 감염 원인이 보안 패치를 설치하지 않았기 때문이므로 윈도우 보안 업데이트, Adobe Flash Player, Oracle JRE 프로그램을 최신 버전으로 업데이트 하시고 인터넷을 이용하시기 바랍니다.
728x90
반응형