최근에 해킹된 웹 사이트를 통해서 유포되는 imm32.dll 패치하는 악성코드가 Win32/Parite에 감염된 채로 유포되는 사례가 있었다. 이와 관련된 악성코드들에 대해서 현재 안철수연구소는 아래와 같이 대응하고 있다.

 

안철수연구소의 대응상태

V3:2011.05.08.00 이후 엔진버전이면 아래 악성코드들에 대해서 진단 및 치료가 가능하다

 

Win32/Parite

Dropper/Win32.OnlineGameHack

Win-Trojan/Patcher.90112.F

Win-Trojan/Patched.CO

 

imm32.dll 패치하는 악성코드, 감염경로와 감염조건

이번에 발견된 악성코드의 감염경로는 위에서 언급한 데로 해킹된 웹 사이트를 통해서 유포가 되며 아래 취약점이 존재하는 PC에서 실행된다.

 

MS10-018: 초기화되지 않은 메모리 손상 취약점(CVE-2010-0806)

  http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

 

MS10-090: 초기화되지 않은 메모리 손상 취약점(CVE-2010-3962)

  http://www.microsoft.com/korea/technet/security/bulletin/ms10-090.mspx

 

Adobe Flash Player Avm Bytecode Verification Vulnerability(CVE-2011-0609)

  http://www.adobe.com/support/security/advisories/apsa11-01.html


imm32.dll 패치하는 악성코드, 감염증상은?

1. EXE, SCR 확장자를 가진 파일이 감염된다.

Win32/Parite.B 분석정보:

http://www.ahnlab.com/kr/site/securitycenter/asec/asecCodeView.do?virusActionVo.virus_seq=1021

 

2. 특정 온라인 게임 사용자의 계정정보를 탈취하여 전송한다.

[그림 1] 전송되는 계정정보
신고
Creative Commons License
Creative Commons License
Posted by 비회원