11월 초에 Ikee worm이름의 아이폰 웜(iPhone Worm)이 최초로 발견되었다. 그리고, F-Secure의 'Malicious iPhone worm' 글에 따르면 또 다른 아이폰 웜이 발견되었다.
아이폰 보호 기능을 해제하고, default 비밀번호를 변경하지 않은 경우에 감염이 된다.
이 웜은 리투아니아에 있는 웹기반 C&C(command & control center) 서버에 접속한다. 그리고, 이 때 아이폰의 시스템 정보(uname)와 SQLite 정보(SQLITE 환경변수), IP정보(ifconfig) 등을 저 서버에 넘겨주게 되어 있다. F-Secure에 따르면 아직 웜이 확산되지는 않았지만 위와 같은 정보들을 빼내가기 때문에 Ikee worm보다는 더 심각한 웜으로 보고 있다.
저 리투아니아에 있는 C&C 서버에 /xml/a.php?name= 값으로 접속하면, 404 not found 페이지를 보여준다. a.php 페이지가 이제 지워졌으니 문제없겠구나 생각할 것 수 있을 것 같다. 그러나 실제 지워지지 않았다. 마치 파일이 없는 것처럼 눈속임 화면을 뿌려준 것이다. 실제로는 200 OK.

그리고, http://www.malwaredomainlist.com/mdl.php 에서 목록을 보면 /xml/p.php 페이지도 아이폰 웜이 호출하는 페이지로 되어 있다. 마찬가지로 404 페이지인 것 처럼 눈속임을 하고 있다.
먹을 것이 많아지니 벌레가 들끓는다.
최초 웜에 대한 것은 다음 글을 참고하기 바란다.
아이폰 보호 기능을 해제하고, default 비밀번호를 변경하지 않은 경우에 감염이 된다.
이 웜은 리투아니아에 있는 웹기반 C&C(command & control center) 서버에 접속한다. 그리고, 이 때 아이폰의 시스템 정보(uname)와 SQLite 정보(SQLITE 환경변수), IP정보(ifconfig) 등을 저 서버에 넘겨주게 되어 있다. F-Secure에 따르면 아직 웜이 확산되지는 않았지만 위와 같은 정보들을 빼내가기 때문에 Ikee worm보다는 더 심각한 웜으로 보고 있다.
저 리투아니아에 있는 C&C 서버에 /xml/a.php?name= 값으로 접속하면, 404 not found 페이지를 보여준다. a.php 페이지가 이제 지워졌으니 문제없겠구나 생각할 것 수 있을 것 같다. 그러나 실제 지워지지 않았다. 마치 파일이 없는 것처럼 눈속임 화면을 뿌려준 것이다. 실제로는 200 OK.
[ 404 페이지인 것처럼 속이고 있다. ]
HTTP/1.1 200 OK
Date: Mon, 23 Nov 2009 09:47:26 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15
X-Powered-By: PHP/5.2.0-8+etch15
Content-Length: 228
Connection: close
Content-Type: text/html; charset=UTF-8
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /xml/a.php?name=.... was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.34 Server at 92.61.38.16 Port 80</ADDRESS>
</BODY></HTML>Connection closed by foreign host.
Date: Mon, 23 Nov 2009 09:47:26 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15
X-Powered-By: PHP/5.2.0-8+etch15
Content-Length: 228
Connection: close
Content-Type: text/html; charset=UTF-8
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /xml/a.php?name=.... was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.34 Server at 92.61.38.16 Port 80</ADDRESS>
</BODY></HTML>Connection closed by foreign host.
그리고, http://www.malwaredomainlist.com/mdl.php 에서 목록을 보면 /xml/p.php 페이지도 아이폰 웜이 호출하는 페이지로 되어 있다. 마찬가지로 404 페이지인 것 처럼 눈속임을 하고 있다.
먹을 것이 많아지니 벌레가 들끓는다.
최초 웜에 대한 것은 다음 글을 참고하기 바란다.
'IT이야기' 카테고리의 다른 글
KISA, 개인정보 노출 검사 위해 웹페이지 마구잡이로 긁어가 (17) | 2009.12.14 |
---|---|
nProtect 웹사이트, SQL Injection공격 당해 (17) | 2009.11.30 |
또 다른 아이폰 웜 발견 (6) | 2009.11.23 |
MS의 시카고 데이터센터 사진 공개 (16) | 2009.10.07 |
IT기기 잃어버렸을 때, 찾을 수 있는 희망 (17) | 2009.09.23 |
apache.org 해킹당해 (8) | 2009.08.31 |
댓글을 달아 주세요
항상 그렇죠. 해킹, 바이러스 등이 리눅스나 맥OS에서보다 대부분 윈도우를 대상으로 하고 있는것처럼.....아이폰도 많이 팔리니까 그만큼 위험에 점점 더 크게 노출되겠죠- 다행히도 jailbreak 한 경우에만 해당되거나 기본비밀번호를 바꾸면 해당이 없는 등 아직은 쉽게 빗겨나갈 수 있지만 언제 어떻게 될지 모를일인것 같습니다 ㅎ 애플에서 얼마나 자주 업데이트를 해주느냐도 관건이겠네요-
2009.11.23 20:11 신고 [ ADDR : EDIT/ DEL : REPLY ]예. 아이폰 웜도 점점 진화를 할테니, 지금과는 비교안되는 위험한 벌레가 등장할 수도...
2009.11.24 12:33 신고 [ ADDR : EDIT/ DEL ]하필이면 딱 이럴때 시작되는 군요....
2009.11.27 23:15 [ ADDR : EDIT/ DEL : REPLY ]너무 절묘한 타이밍이네요...
아... 이제는 맥을 사용하면서도 백신 프로그램 설치해야만 하는 일이 발생할 수 있겠네요..;;
그렇게 생각하니 마냥 웃고 넘어갈 만한 소식은 아니네요..
오~ erin.js.lee님 블로그에서 뵙네요.
2009.11.30 19:28 신고 [ ADDR : EDIT/ DEL ]리눅스와 맥을 둘 다 쓰시는구나.
국내 출시 시점과는 절묘하긴하죠. ㅋㅋ
IT 기기의 영역이 확산되는 만큼 웜도 점점 자기 영역을 넓혀가네요.
ㅡ.ㅡ 아이폰이 대단하긴 대단한가 봅니다...
2009.12.21 09:25 [ ADDR : EDIT/ DEL : REPLY ]예. 아이폰을 포함한 스마트폰의 위력이겠죠.
2009.12.22 05:02 신고 [ ADDR : EDIT/ DEL ]앞으론 구글 안드로이드나 곧 공개될 삼성의 바다 플랫폼도 벌레들이 생기겠죠.
미래엔 모바일 백신 시장도 재미있을 듯... ^^