1. 서론
 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.


2. 악성코드 감염 시 나타는 증상
 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다.

해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다.
(발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.)

따라서 아래 파일들을 삭제하고 변조된 파일은 정상 파일로 복원을 시켜주어야 합니다.

C:\Windows\System32\imm32.dll
C:\Windows\System32\ole.dll
C:\Windows\System32\nt32.dll


3. 조치 방법

3-1. 전용백신으로 치료

아래의 링크를 클릭하시어 전용백신을 다운로드 합니다.

[전용백신 다운로드 (클릭)
]



3-2.  수동 조치 방법
우선 수동조치 방법보다 위에 안내해드린 전용백신을 통한 치료를 권장 드립니다.

1) imm32.dll은 탐색기창에서는 정상적인 삭제가 되지 않을 수 있습니다.  아래 주소에서 GMER를 다운로드하여 악성파일을 삭제해 보시기 바랍니다.

-  GMER 다운로드 (클릭)

# 일부 변종에 감염될 경우 Gmer 실행 시 시스템이 다운되는 증상이 발생하여 툴 사용이 어려울 수 있습니다. 이러한 경우 아래 블로그 내용을 참고하셔서 IceSword 툴을 이용하여 imm32.dll 파일을 삭제하여 보시기 바랍니다.
- http://core.ahnlab.com/18

2) 프로그램 실행 후 [Files] 탭으로 이동하여 아래 파일들을 찾아서 오른쪽에 있는 [Delete] 버튼울 눌러 삭제 합니다.


C:\Windows\System32\imm32.dll
C:\Windows\System32\ole.dll
C:\Windows\System32\nt32.dll



3) [내컴퓨터] 를 실행한 후 아래 경로로 이동하여 imm32.dll.log 또는 imm32.dll.tmp 또는 imm32.dll.bak 파일을 imm32.dll 로 이름을 변경하도록 합니다.

만약 해당 파일이 모두 존재하지 않는 경우 감염되지 않은 정상 PC에서 파일을 복사 후 붙여넣기를 하시면 됩니다.



4) 재부팅 후 인터넷 익스플로러를 실행하여 한글 입력이 정상적으로 동작하는지 확인 부탁 드립니다. 만약 한글 입력이 정상적으로 동작하지 않는다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.


[인터넷 익스플로러에서 한글 입력이 안되는 경우]

마이크로소프트 오피스의 한글 입력기와의 충돌로 인해 발생 되며 이를 해결하기 위해서는 ctfmon.exe의 실행을 유도하는 2개의 dll 파일을  수동 삭제해 주어야 합니다.


1) 시작 -> 실행 -> cmd 입력 후 아래 명령어를 순서대로 입력합니다.

[그림] msimtf.dll 제거

[그림] msctf.dll 제거



만약 재부팅 후에도 증상이 해결되지 않는다면 시스템 복구를 이용하여 문제가 생기기 이전의 상태로 복구를 하는것을 권장 드립니다. 시스템 복구는 아래 경로에서 진행 할 수 있으며 자세한 내용은 FAQ에서 다루었으니  관련 글을 참고 하세요.

시스템 복원 방법 : http://core.ahnlab.com/176
시스템 복원을 취소하는 방법 : http://core.ahnlab.com/177


현재 imm32.dll 관련 악성코드는 현재 많은 변종이 나타나고 있으며 변종에 다른 증상이 각각 다르게 발생되고 있습니다.


위와 같이 조치하신 이후에도 한영키 변환의 문제가 있거나, 시스템 이상 증상이 계속적으로 발생할 경우
상단의 [바이러스 신고센터] 메뉴를 이용하여 신고주시면 확인 후 답변 드리겠습니다. 감사합니다.
 
글출처 : 안철수 연구소