imm32.dll

윈도우 시스템 파일을 변조하는 악성코드 주의

1. 서론최근 lpk.dll, imm32.dll 등 윈도우 중요 시스템 파일을 변조하는 악성코드가 국내 다수의 사이트에서 유포되고 있어 주의 차원에서 해당글을 작성합니다.2. 전파 경로해당 악성코드는 웹사이트를 통해 윈도우 및 기타 어플리케이션 취약점을 통해 전파되며 이때 이용되는 취약점은 주로 아래와 같습니다. Adobe Flash Player 취약점 (CVE-2011-0611)인터넷 익스플로러 취약점 (CVE-2010-0806) 이들 취약점은 모두 가장 최근에 나와 보안 업데이트가 되어 있지 않은 사용자가 많아 다수의 사용자가 해당 악성코드에 감염이 된 것으로 확인되었습니다. 3. 감염 시 나타나는 증상해당 악성코드 감염 시 특별히 눈에 띄게 나타나는 증상이 없어 사용자가 악성코드 감염을 인지할 수 있는 방법은 힘듭니다. 다만 아래와 같이 파일을 확인하여 감염 여부를 확인할 수 있습니다.[감염 확인 방법]1) 내컴퓨터를 실행하여 [도구] – [폴더 옵션] 에서 아래와 같이 설정합니다. 2) 위와 같이 설정 후 C:WindowsSystem32 폴더로 이동하여 아래…

imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0

1. 서 론 imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 “imm32.dll을 패치하는 악성코드“에 대한 정보를 업데이트하였다. 2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게? 최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다. Case 1. 정상 imm32.dll -> imm32A.dll로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우 Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼 이름 기준으로 서명이 Unsigned된 imm32.dll과 Signed catalog(nt5.cat)된 imm32a.dll파일 두 개가 실행 중임을 알 수 있다. [그림 1] Case 1에 해당하는 PC의 상태 Unsigned된 imm32.dll은 순도 100%의 악성 imm32.dll이며, Signed catalog(nt5.cat)된 imm32a.dll은 악성코드가 백업한 정상 imm32.dll이다. 수동조치는 아래 단계를 거친다….

악성코드로 인한 imm32.dll 파일 변조 조치 가이드

1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다. (발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.) 따라서 아래 파일들을 삭제하고 변조된 파일은 정상 파일로 복원을 시켜주어야 합니다.C:WindowsSystem32imm32.dllC:WindowsSystem32ole.dll C:WindowsSystem32nt32.dll 3. 조치 방법 3-1. 전용백신으로 치료 아래의 링크를 클릭하시어 전용백신을 다운로드 합니다. [전용백신 다운로드 (클릭)] 3-2.  수동 조치 방법 우선 수동조치 방법보다 위에 안내해드린 전용백신을 통한 치료를 권장 드립니다. 1)…