imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 Posted By ASEC , 2011년 3월 24일 1. 서 론 imm32.dll을 패치하는 악성코드와 관련된 피해사례가 꾸준히 접수되고 있어 확인해 본 결과 기존의 방식과는 조금은 다른 방식을 사용하여 악성코드를 실행하도록 되어 있어 일반 사용자들을 위해서 “imm32.dll을 패치하는 악성코드“에 대한 정보를 업데이트하였다. 2. imm32.dll을 패치하는 악성코드, 수동조치는 어떻게? 최근에 발견된 imm32.dll을 패치하는 악성코드를 수동조치하기 위해서는 두 가지 경우의 수를 두고 수동조치를 해야한다. Case 1. 정상 imm32.dll -> imm32A.dll로 백업 후 순도 100%의 악성 imm32.dll로 교체되는 경우 Case 1에 해당하는 PC에서 안리포트를 실행하여 프로세스 & 모듈 -> 로드된 모듈 부분을 살펴보면 아래 그림처럼 이름 기준으로 서명이 Unsigned된 imm32.dll과 Signed catalog(nt5.cat)된 imm32a.dll파일 두 개가 실행 중임을 알 수 있다. [그림 1] Case 1에 해당하는 PC의 상태 Unsigned된 imm32.dll은 순도 100%의 악성 imm32.dll이며, Signed catalog(nt5.cat)된 imm32a.dll은 악성코드가 백업한 정상 imm32.dll이다. 수동조치는 아래 단계를 거친다….
