1. 개요

 아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다.



2. V3의 대응상태

 V3에서는 아래와 같이 대응하고 있습니다.

Win-Trojan/Agent.535552.F   (V3: 2010.09.28.00)



3. 악성코드 감염 시 증상

(1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다.         

 

[그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F


[그림 2] 특정 웹 사이트를 통한 유포시도

 

(2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다.

 

%USERPROFILE%\Temp\Greenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일)

%USERPROFILE%\Temp\u16event.html(특정 프로그램의 계정정보를 저장할 html파일)

 

(3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수 있도록 위장합니다.

 


[그림 3] 펌웨어 업그레이드로 위장한 프로그램 실행 화면

 

(4) 계정정보(사용자 ID/PW) 유출 대상이 되는 프로그램은 아래와 같습니다.

 

Google Talk, Msn Messenger, AIM, Yahoo, Pidgin, Messenger Live, Vitalwerks

 

위 프로그램이 설치되어 있다면 로그인 시 사용된 사용자의 ID/PWu16event.html에 저장합니다.

 


[그림 4] u16event.html에 저장된 MSN 사용자의 계정정보

 


(5) u16event.html
에 저장된 계정정보는 특정 FTP서버로 업로드 시도하는 것으로 확인되며 u16event.html가 특정 FTP서버로 업로드 때 감염된 PC의 이름과 시스템 시간을 사용하여 파일명을 변경합니다.

 

   ) u16event.html -> FTP에 업로드 시 -> TESTLAB-44F50BB_280910_1045.htm

                                                                               [컴퓨터 이름] [시스템 날짜 및 시간]

 

(6) 수집한 계정정보는 특정 FTP로 전송을 시도하나 인증실패로 업로드 되지 않았습니다.

 


[그림 5] FTP 접속 시도 및 인증실패


 
 

4. 예방법

(1) 웹 사이트 이용 시 출처가 불분명한 파일은 다운로드 하지 않습니다.

(2) P2P프로그램을 사용하지 않습니다.

(3) 설치된 백신은 항상 최신 엔진으로 유지해야 하고 주기적으로 PC를 점검해 주는 것이 필요합니다.

 

신고
Posted by 비회원