최신 보안 동향

imm32.dll 패치 악성파일의 진화는 어디까지....? <두번째 이야기>

TACHYON & ISARC 2011. 4. 21. 18:02
1. 개 요


imm32.dll 패치형 악성파일과 관련하여 앞서 소개한 바 있다. 그러나 최근 imm32.dll 패치 외 악성 svchost.exe 파일을 추가로 생성하여 동작하는 악성파일이 확인 되었다. 해당 악성파일은 사용자 계정정보 유출을 통한 2차 피해를 유발시킬수 있으므로 인터넷 사용자의 각별한 주의가 필요한 상황이다.


2. 감염 방식 및 감염 증상

이번에 발견되어진 악성파일은 정상 imm32.dll 패치 외에 윈도우 시스템 폴더에 악성 svchost.exe 파일을 추가로 생성하여 동작하는 등 새로운 방식의 감염 형태로 확인 되었다. 또한, 국내 특정 온라인 게임 및 메신저, Internet Explorer 파일에 인젝션되어 사용자 로그인시 로그인 정보를 후킹하여 외부로 전송하는 시도를 하게 된다.

현재 해당 악성파일은 이전 블로그에서도 설명 하였듯이 특정 웹 브라우저 취약점에 의한 유포나 해킹되어진 웹 페이지 등을 통하여 다운로드 되어진 형태로 감염이 진행되게 된다.

아래의 그림은 최근 이와 같은 방법으로 유포가 되었던 악성파일 중 하나이다.


다운로드 되어진 lala.exe 악성파일이 실행되면 윈도우 시스템 폴더에 악성 svchost.exe 파일을 생성하게 된다. 생성되어진 svchost.exe 파일은 다시 악성 유포지의 서버경로 정보를 포함하고 있는 txt 파일을 다운로드 받게 되고 이를 기반으로 추가 악성파일을 유포 서버로 부터 다운로드 받게 된다.


※ 악성파일 유포서버의 정보를 포함하고 있는 정보 파일


※ 악성파일 유포 Domain IP


lala.exe 악성파일에 의하여 생성 되어진 svchost.exe 와 imm32.dll 악성 파일은 특정 파일에 인젝션 되어 동작하고 있으며, 특정 온라인 게임 및 메신저, Internet Explorer 파일 등에 인젝션되어 동작하게 된다.


또한, svchost.exe 악성파일은 국내 특정 백신에 대한 기능을 무력화 시키고 있는 것으로 확인 되었다. 아래의 그림은
백신 무력화에 사용 되어지는 프로세스 명령어 이다.


※ 악성파일 감염 전후 특정 백신에 대한 프로세스 상태


위와 같은 악성파일이 실행될 경우 다음과 같은 경로에 추가적인 악성파일을 생성하게 되고, 윈도우 시작시 재 감염이 발생할 수 있도록 특정 레지스트리 값을 등록하게 된다.

[생성파일 정보]

C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\imm32A.dll
C:\Documents and Settings\사용자 계정 폴더\Local Setting\Temp\랜덤 6자리 숫자.tmp

※ 정상 및 악성 imm32.dll 등록 정보


※ 악성 svchost.exe 등록 정보


[레지스트리 정보]

HKLM\WOFTWARE\Microsoft\Windows\CUrrentVersion\RUN
 ▣ 값 이름 : Rundll32.exe
 ▣ 값 데이터 : "C:\WINDOWS\system\svchost.exe"

※ 레지스트리 등록 정보 


3. 예방 조치 방법

이와 같은 악성파일 감염으로 부터 내 PC를 보다 안전하게 사용하기 위해서는 다음과 같은 사전 예방수칙이 필요하다.

1. 윈도우와 같은 OS 및 각종 응용 프로그램에 대하여 최신 보안 패치를 적용 하도록 한다. 특히, 이와 같은 악성파일 감염 유형의 경우 최초 IE 취약점으로 부터 발생 가능성이 높음으로 최신 보안 패치 적용을 당부하고자 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 특정 웹 사이트를 통하여 다운로드 받아진 파일에 대하여 검증절차 없이 실행할 경우 주의를 기울이도록 한다.
3. 신뢰할 수 있는 보안 업체로 부터 제공 가능한 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트 적용하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 활성화 하여 사용하도록 권장하는 바이다.

이와 같은 악성 imm32.dll 와 svchost.exe 파일과 관련하여 nProtect Anti-Virus 제품군에서 모든 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 신종 및 변종 악성파일 위협으로 부터 상시 대응체계를 유지 하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 진단 화면