2010.09.28 아이폰 탈옥 도구로 위장한 악성코드 출현

아이폰 탈옥 프로그램으로 위장한 정보 유출형 악성코드가 발견되어 해당 악성코드에 대한 주의가 필요합니다.

 

아이폰 탈옥 도구로 위장한 악성코드 Win-Trojan/Agent.535552.F는 특정 웹사이트나 P2P 파일 공유 프로그램을 통해서 유포되고 있습니다.

[그림 1] 특정 웹사이트를 통한 유포

[그림 2] P2P 프로그램을 통한 유포

해당 악성코드는를 다운로드 해 실행하면 아래의 경로에 파일을 생성하게 되고,

%USERPROFILE%\Temp\Greenpois0n_ [일부생략].exe  (원본 파일)

%USERPROFILE%\Temp\u16event.html  (계정정보를 저장할 html파일)

 
해당 파일 실행하면 원본 파일이 설치되면서 사용자에게는 실제 아이폰 탈옥 프로그램이 동작하는 것처럼 인식되도록 아래와 같은 창을 출력합니다. 

[그림 3] 펌웨어 업그레이드로 위장한 프로그램 실행 화면

 

그러나 이렇게 해당 악성코드가 설치된 상태에서 구글토크(Google Talk), MSM 메신저, 야후(Yahoo), 메신저 라이브(Messenger Live) 등의 서비스에 로그인 할 때 ID와 패스워드 등의 계정 정보를 갈취해 위 html 파일에 저장하고 이를 특정 FTP서버로 업로드하게 됩니다.

 

현재 V3을 통해 Win-Trojan/Agent.535552.F로 진단 치료되고 있습니다.

 

이와 같은 악성코드에 의한 정보유출 등의 피해를 막기 위해 무엇보다 출처가 불분명한 파일은 다운로드 하지 않으며, 항상 설치된 백신은 최신의 엔진으로 유지해 주기적인 PC점검을 하는 습관이 무엇보다 필요합니다. <Ahn>