1. 서론 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.
2. 악성코드 감염 시 나타는 증상 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일(108kb)을 imm32.dll.log나 imm32.dll.bak로 백업시킨 후 imm32.dll과 같이 동일한 파일명(112kb : 일부악성파일은 사이즈가 다소 차이가 있을 수 있음)으로된 악성파일과 다음과 같은 파일을 생성합니다.
(발견되는 변종에 따라 일부파일은 존재하지 않을 수도 있습니다.)
우선 V3 제품의 실시간 감시 기능을 꺼주신 후 다운로드 받은 전용백신을 실행하여 치료가 완료되면 아래와 그림과 같이 치료완료 및 재부팅 메세지 창이 팝업이 되며 확인 버튼 클릭 후 시스템을 재부팅 해 주시기 바랍니다.
3-2. 수동 조치 방법 1) imm32.dll은 탐색기창에서는 정상적인 삭제가 되지 않을 수 있습니다. 아래 주소에서 GMER를 다운로드하여 악성파일을 삭제해 보시기 바랍니다.
- GMER 다운로드 (클릭)
# 일부 변종에 감염될 경우 Gmer 실행 시 시스템이 다운되는 증상이 발생하여 툴 사용이 어려울 수 있습니다. 이러한 경우 아래 블로그 내용을 참고하셔서 IceSword 툴을 이용하여 imm32.dll 파일을 삭제하여 보시기 바랍니다. - http://core.ahnlab.com/18
2) 프로그램 실행 후 [Files] 탭으로 이동하여 아래 파일들을 찾아서 오른쪽에 있는 [Delete] 버튼울 눌러 삭제 합니다.
3) [내컴퓨터] 를 실행한 후 아래 경로로 이동하여 imm32.dll.log 파일을 imm32.dll 로 이름을 변경하도록 합니다. 추가로 imm32.dll.log 파일이 존재하지 않는다면 imm32.dll.bak 파일이 있는지 확인해 보신 후 해당파일이 존재한다면 해당 파일을 imm32.dll 로 변경하시기 바랍니다.
만약 imm32.dll.bak, imm32.dll.log 파일 둘다 존재하지 않는 경우 감염되지 않은 정상 PC에서 파일을 복사 후 붙여넣기를 하시면 됩니다.
4) 재부팅 후 인터넷 익스플로러를 실행하여 한글 입력이 정상적으로 동작하는지 확인 부탁 드립니다. 만약 한글 입력이 정상적으로 동작하지 않는다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.
[인터넷 익스플로러에서 한글 입력이 안되는 경우]
마이크로소프트 오피스의 한글 입력기와의 충돌로 인해 발생 되며 이를 해결하기 위해서는 ctfmon.exe의 실행을 유도하는 2개의 dll 파일을 수동 삭제해 주어야 합니다.
1) 시작 -> 실행 -> cmd 입력 후 아래 명령어를 순서대로 입력합니다.
[그림] msimtf.dll 제거
[그림] msctf.dll 제거
만약 재부팅 후에도 증상이 해결되지 않는다면 시스템 복구를 이용하여 문제가 생기기 이전의 상태로 복구를 하는것을 권장 드립니다. 시스템 복구는 아래 경로에서 진행 할 수 있으며 자세한 내용은 FAQ에서 다루었으니 관련 글을 참고 하세요.
v3curesystem_imm32.exe
