V3 실행 여부에 따른 imm32.dll 패치 방식의 변화

몇 년 전부터 인터넷에 존재하는 취약한 웹 사이트들을 악용하여 온라인 게임의 사용자 정보를 유출하는 악성코드들이 다수 유포되기 시작하였다.

과거에는 단순하게 사용자의 키보드 입력이나 웹 페이지 입력 정보들만을 가로채어 인터넷에 존재하는 특정 시스템으로 전송하는 트로이목마 형태였다. 그러나 최근에는 윈도우 시스템에 존재하는 정상 시스템 파일들의 특정 부분을 악성코드를 실행시키는 코드로 변경하는 패치(Patch) 형태로 유포되고 있다.

최근 발견된 온라인 게임 관련 악성코드들을 분석하는 과정에서 V3의 설치 및 실행 여부에 따라서 윈도우 시스템 파일 중 하나인
imm32.dll 에 대한 패치 방식이 달라지는 것으로 분석 되었다.

해당 윈도우 시스템 파일인
imm32.dll 파일을 패치하는 악성코드는 먼저 감염된 시스템에서 V3 관련 프로세스가 실행 중인 것을 아래 이미지와 같이 확인한다.

그리고 정상 윈도우 시스템 파일인

imm32.dll의 파일명을 imm32A.dll로 변경 한 이후에 자신의 코드 전체를 덮어 쓰게 된다.

해당 파일에 덮어쓰기가 완료하게 되면 익스포트(Export) 함수 포워딩(Forwarding)을 이용하여 악성코드 자신의 코드를 실행하게 된다.

만약 감염된 시스템에 V3가 설치 되어 있지 않다면 정상 윈도우 시스템 파일인 imm32.dll의 파일에 PE 섹션 2개 “.rsrc1”“.mdata”를 생성하여 패치하게 된다.

그리고 악성코드 자신은 nt32.dll라는 파일명으로 생성하여 실행되도록 구성되어 있다.

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments