1. 개요

 아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다.



2. V3의 대응상태

 V3에서는 아래와 같이 대응하고 있습니다.

Win-Trojan/Agent.535552.F   (V3: 2010.09.28.00)



3. 악성코드 감염 시 증상

(1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다.         

 

[그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F


[그림 2] 특정 웹 사이트를 통한 유포시도

 

(2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다.

 

%USERPROFILE%\Temp\Greenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일)

%USERPROFILE%\Temp\u16event.html(특정 프로그램의 계정정보를 저장할 html파일)

 

(3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수 있도록 위장합니다.

 


[그림 3] 펌웨어 업그레이드로 위장한 프로그램 실행 화면

 

(4) 계정정보(사용자 ID/PW) 유출 대상이 되는 프로그램은 아래와 같습니다.

 

Google Talk, Msn Messenger, AIM, Yahoo, Pidgin, Messenger Live, Vitalwerks

 

위 프로그램이 설치되어 있다면 로그인 시 사용된 사용자의 ID/PWu16event.html에 저장합니다.

 


[그림 4] u16event.html에 저장된 MSN 사용자의 계정정보

 


(5) u16event.html
에 저장된 계정정보는 특정 FTP서버로 업로드 시도하는 것으로 확인되며 u16event.html가 특정 FTP서버로 업로드 때 감염된 PC의 이름과 시스템 시간을 사용하여 파일명을 변경합니다.

 

   ) u16event.html -> FTP에 업로드 시 -> TESTLAB-44F50BB_280910_1045.htm

                                                                               [컴퓨터 이름] [시스템 날짜 및 시간]

 

(6) 수집한 계정정보는 특정 FTP로 전송을 시도하나 인증실패로 업로드 되지 않았습니다.

 


[그림 5] FTP 접속 시도 및 인증실패


 
 

4. 예방법

(1) 웹 사이트 이용 시 출처가 불분명한 파일은 다운로드 하지 않습니다.

(2) P2P프로그램을 사용하지 않습니다.

(3) 설치된 백신은 항상 최신 엔진으로 유지해야 하고 주기적으로 PC를 점검해 주는 것이 필요합니다.

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원