imm32.dll 패치를 위한 비정상적 함수명 사용

2011년 3월 2일 ASEC에서는 imm32.dll 패치를 수행하는 악성코드들이 감염된 시스템에 V3의 실행 여부에 따라서 다른 감염 결과를 보여주는 사례에 대해 언급 한 바가 있었다.

그리고 3월 31일에는 다시 보안 제품에서의 탐지를 우회하기 위해 기존에 사용하였던 익스포트 함수들을 직접적으로 포워드하는 방식 대신
해당 악성코드 내부에서 별도의 코드로 함수를 호출하는 방식을 사용한 특징을 언급한 바가 있었다.

최근에는 다시 보안 제품의 진단을 회피하기 위해 imm32.dll 패치를 수행하는 악성코드는 아래 이미지에서와 같이 imm32.dll에서 사용하는 익스포트 함수들 중 일부를 비정상적인 명칭으로 변경한 사례가 발견되었다.

이러한 보안 제품의 탐지를 우회하기 위한 악성코드의 변화를 지속적으로 계속 진행될 것으로 예상되며 최근에는 윈도우 시스템 파일들 중 하나인 ksuser.dll, midimap.dll와 comres.dll를 패치하는 악성코드들도 발견되고 있다.


그러므로 사용하는 운영체제와 웹 브라우저 그리고 어도비(Adobe) 제품들의 보안 패치를 점검하고 설치하여 사전에 피해를 예방하는 것이 중요하다.

비정상적인 명칭으로 imm32.dll를 패치하는 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/PatchedImm.Gen

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments