아이폰 탈옥 도구로 위장한 ‘악성코드’ – Win-Trojan/Agent.535552.F Posted By ASEC , 2010년 9월 28일 1. 개요 아이폰 탈옥 프로그램으로 위장한 정보유출형 악성코드가 발견되어 해당 악성코드에 대한 분석정보를 공유합니다. 2. V3의 대응상태 V3에서는 아래와 같이 대응하고 있습니다. Win-Trojan/Agent.535552.F (V3: 2010.09.28.00) 3. 악성코드 감염 시 증상 (1) 이번 아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 웹 사이트와 Torrent라는 P2P 프로토콜을 통해서 유포되고 있음이 확인되었습니다. [그림 1] Torrent를 통해서 유포 중인 Win-Trojan/Agent.535552.F [그림 2] 특정 웹 사이트를 통한 유포시도 (2) Torrent를 통해서 다운로드 한 악성코드는 18,764,288 바이트의 크기를 가지고 있으며 실행하게 되면 아래 경로에 파일을 생성합니다. %USERPROFILE%TempGreenpois0n_ [일부생략].exe(18,746,503 바이트, 악의적인 기능이 없는 실행파일) %USERPROFILE%Tempu16event.html(특정 프로그램의 계정정보를 저장할 html파일) (3) 계정정보 유출기능은 18,764,288 바이트의 크기를 가진 원본 파일이 수행하며 (2)과정에서 생성한 실행파일을 실행하여 아래 창을 출력함으로써 사용자로 하여금 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식될 수…
