본문 바로가기
AhnLab 보안in

안철수연구소, V3제품의 imm32.dll 악성코드 대응방법

by 보안세상 2020. 4. 11.

2011.04.23

 

안녕하세요. 안랩인입니다.지난 주말을 기점으로 최근에 보고된 Adobe Flash Player의 취약점(CVE-2011-0611)이용한 악성코드 유포 사례가 증가하고 있습니다해당 취약점을 통해서 유포되는 악성코드들 중에는 정상 imm32.dll을 교체하는 것들도 있는데 최근에 발견된 변종에서는 백신에서 또는 사용자가 수동 조치할 수 없도록 윈도우 OS에서 사용하는 특정 계정그룹에 대한 권한을 변경하는 것으로 확인되었습니다.

안철수연구소의 대응상태

현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있습니다.

 

V3:2011.04.18.02
Dropper/Onlinegamehack.83456 / Win-Trojan/Patched.66048
전용백신 다운로드
전용백신 사용 시 주의사항
√ 전용백신의 폴더권한 변경은 XP에서만 동작
√ Vista, Windows 7에서는 감염 테스트 시 악성코드가 정상 동작 않음(블루스크린 발생)
√ Windows 서버계열에서는 구성환경 및 권한정책 때문에 폴더권한 변경은 제외함

Dropper/Onlinegamehack.83456이 이용하는 취약점은?

Dropper/Onlinegamehack.83456가 이용하는 취약점은 위에서도 언급되어 있지만 Adobe Flash Player의 취약점(CVE-2011-0611)입니다해당 취약점에 대한 추가 분석정보는 아래 주소에서 보실 수 있습니다.

 

 참고정보악성 플래시 파일당신의 PC를 노린다.

 

Dropper/Onlinegamehack.83456은 어떻게 동작할까?

Dropper/Onlinegamehack.83456의 동작방식은 아래와 같습니다.

 

[그림 1] Dropper/Onlinegamehack.83456의 동작구조

 

[그림 1]에서 권한변경 부분에 대해서 기술적으로 살펴보면 아래와 같습니다.

 

[그림 2] 관리자(administrator)와 관리자 그룹(administrators)의 권한변경

 

[그림 2]에서 보는 것처럼 Winexec()를 호출하여 권한을 R(읽기)권한으로 변경하면 SYSTEM32폴더에 대한 권한이 아래처럼 변경됩니다.

 

[그림 3] Dropper/Onlinegamehack.83456에 의한 권한변경 전 후

 

[그림 3]에서 보는 것과 같이 권한이 F(모든 권한) -> R(읽기 권한)으로 변경될 경우 SYSTEM32폴더에 파일을 생성하거나 삭제하는 것은 불가능하게 됩니다그 외 기능은 기존의 변종들과 동일하므로 아래 주소를 참고바랍니다.

 

 참고정보imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0