본문 바로가기

벌새::Analysis

imm32.dll + wmsdmod32.dll 파일을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.17)

최신 보안 패치(Windows, Adobe Flash Player, Oracle JRE)가 이루어지지 않은 PC를 이용하여 감염을 유발하는 웹 사이트에 접속시 자동으로 감염되는 온라인 게임 계정 정보를 수집하는 악성코드 중 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하는 악성코드는 그 동안 많이 발견되고 있습니다.

이번 주에 유포되는 imm32.dll 시스템 파일 패치와 함께 생성되는 wmsdmod32.dll 악성 파일로 인해 일부 시스템 환경에 따라 무한 재부팅 현상 또는 특정 버전의 웹 브라우저가 실행되지 않는 문제를 확인하였습니다.

현재 확인된 환경은 Windows XP SP3 + Internet Explorer 8 환경에서 해당 악성코드에 감염된 경우 Internet Explorer 웹 브라우저가 실행시 동작하지 않는 문제가 발생할 가능성이 있는 것으로 보입니다.

실제 테스트 환경에서 Internet Explorer 8 버전을 실행할 경우 "데이터 실행 방지 알림" 창이 생성되어 정상적인 실행이 불가능하며, 오류창 정보를 확인해보면 wmsdmod32.dll 파일로 인한 문제임을 확인할 수 있습니다.

그렇다면 정상적으로 감염된 환경에서는 어떤 동작이 있는지 확인해 보고, 수동으로 해당 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.

참고로 테스트에 사용된 감염을 유발하는 최종 파일(MD5 : 03833103595057e0269df3112ab097e2)은 알약(ALYac) 보안 제품에서 Spyware.OnlineGames.imm (VirusTotal : 5/42) 진단명으로 진단될 예정입니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\imm32.dll :: 패치된 imm32.dll 시스템 파일
※ 해당 파일은 감염시마다 MD5 값이 변경될 수 있습니다.

C:\WINDOWS\system32\Hdksxm.tmp :: 정상 imm32.dll 백업 파일
※ 해당 파일은 (Random).tmp 형태이며, 감염 후 시스템 재부팅을 할 경우 자동으로 삭제됩니다.

C:\WINDOWS\system32\wmsdmod32.dll
 - Dr.Web : Trojan.PWS.Gamania.34560 (VirusTotal : 8/43)
※ 해당 파일은 감염시마다 파일 크기가 다릅니다.

정상적인 imm32.dll 시스템 파일은 감염으로 인하여 패치가 이루어지면서 wmsdmod32.dll 파일을 로딩하도록 변경되어 있는 것을 확인할 수 있습니다.

이를 통하여 시스템이 동작하는 과정에서 수시로 verclsid.exe 프로세스를 통해 imm32.dll 파일을 로딩하는 과정에서 "C:\WINDOWS\system32\wmsdmod32.dll" 파일을 여는 동작이 이루어집니다.(※ 해당 악성코드에 감염된 경우 자신의 모니터링하지 못하도록 Process Monitor 도구의 실행을 방해하는 동작을 확인할 수 있습니다.)

C:\WINDOWS\system32\wmsdmod32.dll

wmsdmod32.dll 악성 파일은 마이크로소프트(Microsoft)사에서 제작한 Windows Media Screen Decoder 파일로 위장하고 있으며, 파일 용량이 18~27MB 등 다양한 비정상적인 크기로 생성되고 있습니다.

wmsdmod32.dll 악성 파일은 국내 한게임(Hangame) 등 온라인 게임 웹 사이트에 접속하여 로그인을 시도할 경우 홍콩(HongKong)에 위치한 aixueshop.com(103.10.236.100) 서버로 계정 정보(아이디(ID), 비밀번호 등)를 전송하는 동작이 있습니다.

해당 악성코드 감염으로 인하여 Internet Explorer 웹 브라우저 오류 또는 정보 유출 문제를 해결하기 위해서는 다음과 같은 방식으로 해결하실 수 있습니다.

(1) "C:\WINDOWS\system32\imm32.dll" 파일의 확장자명 변경하기

"C:\WINDOWS\system32\imm32.dll" 파일을 찾아서 "imm32.dll → imm32.dll-Patched" 형태로 확장자명을 변경하시기 바랍니다.

파일 확장자명을 변경하면 윈도우 파일 보호(WFP) 기능을 통해 정상적인 imm32.dll 시스템 파일이 복원이 이루어집니다.

여기에서 중요한 점은 반드시 윈도우 탐색기를 종료한 후 다시 실행하여 imm32.dll 시스템 파일이 정상적으로 복원되었는지 재확인을 하시기 바라며, 복원이 이루어지지 않은 경우 시스템 재부팅을 할 경우 블루 스크린(BSoD) 생성을 통해 무한 재부팅 문제가 발생할 수 있습니다.

(2) "C:\WINDOWS\system32\wmsdmod32.dll" 파일을 삭제하시기 바랍니다.

(3) 윈도우 재부팅 후 "C:\WINDOWS\system32\imm32.dll-Patched" 파일을 삭제하시기 바랍니다.

모든 절차가 완료된 후에는 백신 프로그램을 이용하여 정밀 검사를 추가적으로 하시기 바라며, 해당 악성코드 감염 원인이 보안 패치를 설치하지 않았기 때문이므로 윈도우 보안 업데이트, Adobe Flash Player, Oracle JRE 프로그램을 최신 버전으로 업데이트 하시고 인터넷을 이용하시기 바랍니다.