IT이야기2009. 11. 23. 19:19

또 다른 아이폰 웜 발견

11월 초에 Ikee worm이름의 아이폰 웜(iPhone Worm)이 최초로 발견되었다. 그리고, F-Secure의 'Malicious iPhone worm' 글에 따르면 또 다른 아이폰 웜이 발견되었다.

아이폰 보호 기능을 해제하고, default 비밀번호를 변경하지 않은 경우에 감염이 된다.

이 웜은 리투아니아에 있는 웹기반 C&C(command & control center) 서버에 접속한다. 그리고, 이 때 아이폰의 시스템 정보(uname)와 SQLite 정보(SQLITE 환경변수), IP정보(ifconfig) 등을 저 서버에 넘겨주게 되어 있다. F-Secure에 따르면 아직 웜이 확산되지는 않았지만 위와 같은 정보들을 빼내가기 때문에 Ikee worm보다는 더 심각한 웜으로 보고 있다.

저 리투아니아에 있는 C&C 서버에 /xml/a.php?name= 값으로 접속하면, 404 not found 페이지를 보여준다. a.php 페이지가 이제 지워졌으니 문제없겠구나 생각할 것 수 있을 것 같다. 그러나 실제 지워지지 않았다. 마치 파일이 없는 것처럼 눈속임 화면을 뿌려준 것이다. 실제로는 200 OK.

iphone worm C&C서버

[ 404 페이지인 것처럼 속이고 있다. ]


HTTP/1.1 200 OK
Date: Mon, 23 Nov 2009 09:47:26 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15
X-Powered-By: PHP/5.2.0-8+etch15
Content-Length: 228
Connection: close
Content-Type: text/html; charset=UTF-8

<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /xml/a.php?name=.... was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.34 Server at 92.61.38.16 Port 80</ADDRESS>
</BODY></HTML>Connection closed by foreign host.


그리고,  http://www.malwaredomainlist.com/mdl.php 에서 목록을 보면 /xml/p.php 페이지도 아이폰 웜이 호출하는 페이지로 되어 있다. 마찬가지로 404 페이지인 것 처럼 눈속임을 하고 있다.

먹을 것이 많아지니 벌레가 들끓는다.


최초 웜에 대한 것은 다음 글을 참고하기 바란다.

'IT이야기' 카테고리의 다른 글

KISA, 개인정보 노출 검사 위해 웹페이지 마구잡이로 긁어가  (17) 2009.12.14
nProtect 웹사이트, SQL Injection공격 당해  (17) 2009.11.30
또 다른 아이폰 웜 발견  (6) 2009.11.23
MS의 시카고 데이터센터 사진 공개  (16) 2009.10.07
IT기기 잃어버렸을 때, 찾을 수 있는 희망  (17) 2009.09.23
apache.org 해킹당해  (8) 2009.08.31
Posted by 좋은진호
TAG Apple, C&C, iphone, IT, Virus, Worm, 보안, 스마트폰, 아이폰, 애플, , 웜바이러스, 해킹, 휴대폰
Trackback 4 Comment 6

댓글을 달아 주세요

  1. BlogIcon 놀이공원 운영자

    항상 그렇죠. 해킹, 바이러스 등이 리눅스나 맥OS에서보다 대부분 윈도우를 대상으로 하고 있는것처럼.....아이폰도 많이 팔리니까 그만큼 위험에 점점 더 크게 노출되겠죠- 다행히도 jailbreak 한 경우에만 해당되거나 기본비밀번호를 바꾸면 해당이 없는 등 아직은 쉽게 빗겨나갈 수 있지만 언제 어떻게 될지 모를일인것 같습니다 ㅎ 애플에서 얼마나 자주 업데이트를 해주느냐도 관건이겠네요-

    2009.11.23 20:11 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      예. 아이폰 웜도 점점 진화를 할테니, 지금과는 비교안되는 위험한 벌레가 등장할 수도...

      2009.11.24 12:33 신고 [ ADDR : EDIT/ DEL ]
  2. BlogIcon erin.js.lee

    하필이면 딱 이럴때 시작되는 군요....
    너무 절묘한 타이밍이네요...
    아... 이제는 맥을 사용하면서도 백신 프로그램 설치해야만 하는 일이 발생할 수 있겠네요..;;
    그렇게 생각하니 마냥 웃고 넘어갈 만한 소식은 아니네요..

    2009.11.27 23:15 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      오~ erin.js.lee님 블로그에서 뵙네요.
      리눅스와 맥을 둘 다 쓰시는구나.

      국내 출시 시점과는 절묘하긴하죠. ㅋㅋ
      IT 기기의 영역이 확산되는 만큼 웜도 점점 자기 영역을 넓혀가네요.

      2009.11.30 19:28 신고 [ ADDR : EDIT/ DEL ]
  3. BlogIcon 삐꾸강아쥐

    ㅡ.ㅡ 아이폰이 대단하긴 대단한가 봅니다...

    2009.12.21 09:25 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      예. 아이폰을 포함한 스마트폰의 위력이겠죠.
      앞으론 구글 안드로이드나 곧 공개될 삼성의 바다 플랫폼도 벌레들이 생기겠죠.
      미래엔 모바일 백신 시장도 재미있을 듯... ^^

      2009.12.22 05:02 신고 [ ADDR : EDIT/ DEL ]

IT이야기2008. 7. 10. 10:14

네이트온 메신저 쪽지로 배포되는 웜 조심

어제 밤 9시 49분쯤에 퇴사하신 분이 메신저로 쪽지를 보내셨다.
저 뿐만 아니고, 대략 20여명에게 한꺼번에 보내졌는데, 퇴사하진지 몇달이 되었는데 '우리집에 애완견인데 이뻐요 http://../?....jpg' 라는 내용으로 보내는 것이 이상했다. 그래서 쪽지내 링크된 URL을 자세히 들여다 보니~아~ 이건 이미지파일을 요청한 것이 아니고, index 파일을 호출한 것이다. 눈속임이 교묘하다.

사용자 삽입 이미지

http://웹주소/image/main/?79202257.jpg  은
http://웹주소/image/main/index.asp?79202257.jpg 처럼 index 파일명(웹서버 설정에 따라 index 파일명은 다양하게 지정 가능)을 생략한채로 query를 요청한 것이다. 즉, ? 뒤에 파일명은 아무 의미없이 눈속임을 위한 것.

저 URL로 요청을 하면 아래 처럼 exe파일을 받게된다. 다운 받아 실행하는 일은 없도록... ^^

HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Thu, 10 Jul 2008 01:00:33 GMT
Location: modue.exe  <-- 다운 받을 수 있는 URL로 이동한다.
Connection: Keep-Alive
Content-Length: 136
Content-Type: text/html
Set-Cookie: ASPSESSIONIDCSCTCQAQ=LGOBFMJCAKHDMADLKIACDBEM; path=/
Cache-control: private

저런 쪽지를 보내신 분은 웜에 감염됐거나 개인정보가 도용됐을 가능성이 있다. 그리고 저 URL에 해당하는 서버 또한 해킹을 당했다는 것으로 보면 될 것이다.


[ 관련정보 ]
* Win32.Dropper.Games (메신저를 통해 악성코드전파)
* Dropper.PSWIGames.159222 (확산방법 : 메신저, 발견일 : 2008/07/06)
 

'IT이야기' 카테고리의 다른 글

구글 크롬의 비밀의 문, about: 에 대해  (14) 2008.09.03
구글 웹브라우저, 크롬 사용기  (4) 2008.09.03
네이트온 메신저 쪽지로 배포되는 웜 조심  (2) 2008.07.10
리눅스에서 윈도우즈 게임을... CrossOver Games  (16) 2008.04.22
다음(Daum) 요즘 잦은 서비스 장애  (4) 2008.04.19
FreeBSD 7 관련 도서 2권  (0) 2008.04.18
Posted by 좋은진호
TAG nateon, 네이트, 네이트온, 메신저,
Trackback 0 Comment 2

댓글을 달아 주세요

  1. BlogIcon kei

    요즘 네이트온 스팸 사건들이 왕왕 올라오던데, 이것도 그런 종류군요
    저는 맥에서 네이트온을 쓰다보니, 클릭해도 exe 파일은 실행될 일이 없는 ^^;;

    2008.07.17 00:58 [ ADDR : EDIT/ DEL : REPLY ]
    • BlogIcon 좋은진호

      주위분들은 받아서 실행까지 해보신 분이 몇몇 계시더군요. ㅠ.ㅠ
      저는 주로 리눅스를 사용하지만. ^^

      2008.07.18 11:13 신고 [ ADDR : EDIT/ DEL ]

IT이야기2007. 8. 1. 18:36

어떤 웜·바이러스 메일이 많을까? (2007년 6월)

* 분석 기간 : 2007.6.03(일) 04:00 ~ 7.01(일) 04:00 (4주, 28일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 35,512건 (1일 평균 1,268건)

지난달과는 달이 이번달은 4주간의 웜·바이러스 메일 건수를 분석했다. 1일 평균 1,268건은 5월의 1일 평균 3,293건과 4월의 1,548건, 3월의 1,785건 등에 비해서 상당히 건수가 감소한 것으로 5월과 비교하면 무려 62%나 감소한 것이다. 주 원인은 지난달에 비정상적(?)으로 늘어난 Bagz웜(지난달에 77.13% 차지)이 여전히 1위이기는 하지만 비율이 42.43%로 감소했기 때문이다. 뒤를 이어 Bagle웜이 37.93%, SomeFool웜이 6.30%, Mytob웜이 4.36% 순이다. 그 외의 특징은 Email.Phishing과 HTML.Phishing이 증가했다는 것.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 6월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

'IT이야기' 카테고리의 다른 글

리눅스용 오라클 11g 출시  (0) 2007.08.21
흥얼거리는 노래를 찾아주는 'midomi' 일본 서비스 시작  (8) 2007.08.14
어떤 웜·바이러스 메일이 많을까? (2007년 6월)  (0) 2007.08.01
OpenBSD Foundation 설립되었다.  (0) 2007.07.28
PHP 4는 올해 말까지만  (2) 2007.07.15
'다음' 일시적으로 css 벗는 장애 발생  (0) 2007.07.11
Posted by 좋은진호
TAG clamav, Virus, Worm, 메일, 바이러스, , 웜메일, 통계
Trackback 0 Comment 0

댓글을 달아 주세요

IT이야기2007. 6. 16. 02:46

어떤 웜·바이러스 메일이 많을까? (2007년 5월)

* 분석 기간 : 2007.5.18(금) 04:00 ~ 5.28(월) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 32,395건 (1일 평균 3,239건)

이번달은 로그를 따로 보관하지 않아 메일로그 기간이 지난달보다 며칠 늦었다. 앞으로는 해당월의 2주간 또는 4주간을 분석하고, 더 나아가 해당월 전체 메일을 통해 분석 결과를 담워볼 생각이다.
5월의 웜·바이러스 메일 건수는 지난달의 15,477건에 비해 무려 109%가 증가했다. 이런 증가의 원인은 24,987건으로 77.13% 차지한 Bagz웜이다. 그 뒤에 14.21%의 Bagle웜이고, 이 둘이 90%이상 독식하고 있다. 이 숫자는 한국의 검색시장의 비율을 보는 것 같다. (참고 : http://pds4.egloos.com/pds/200706/11/30/a0000030_02065174.jpg ). 그 뒤로 SomeFool, Mytob 등으로 순위는 지난달과 같다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 5월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

'IT이야기' 카테고리의 다른 글

webappscon, 한단어로 표현하면 'open'이다.  (13) 2007.06.24
zdnet.co.kr 이제 된다.  (0) 2007.06.17
어떤 웜·바이러스 메일이 많을까? (2007년 5월)  (2) 2007.06.16
zdnet.co.kr 지금도 사이트 점검중?  (0) 2007.06.14
리눅스월드코리아 행사 & WebappsCon (6.21)  (5) 2007.06.10
geek들을 위한 귀걸이, HEAD tag 귀걸이  (2) 2007.06.05
Posted by 좋은진호
TAG clamav, Virus, Worm, 메일, 바이러스, , 웜메일, 통계
Trackback 0 Comment 2

댓글을 달아 주세요

  1. BlogIcon newvirus

    좋은 자료 잘 보고 갑니다.

    2007.06.22 13:00 신고 [ ADDR : EDIT/ DEL : REPLY ]

시스템이야기2007. 4. 24. 22:49

어떤 웜·바이러스 메일이 많을까? (2007년 4월)

* 분석 기간 : 2007.4.14(토) 04:00 ~ 4.24(화) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 15,477건 (1일 평균 1,548건)

올해들어 4번째 분석결과이다. 연말까지 꾸준히 분석할 수 있기를 바라며 또 한번 분석해보자.
4월의 웜·바이러스 메일 건수는 지난달의 17,854건에 비해 약 14%가 감소했다.
웜별로는 Bagz웜, Bagle웜의 강세는 여전하다. Bagz웜은 지난달 23.95%에서 4월에 무려 49.82%로 사과의 반토막을 혼자 잘라 먹어버렸다. Bagle웜은 지난달 34.83%에서 34.89%로 비슷한 수준으로 여전히 강자의 자리를 차지하고 있다. 그 뒤로 SomeFool웜이 6.46%, Mytob웜이 3.53%를 차지한다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 4월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

'시스템이야기' 카테고리의 다른 글

sshfs로 원격 파일시스템을 마운트해서 사용하기  (0) 2007.05.20
방화벽에서 IANA Reserved IP대역 차단시 주의점  (0) 2007.05.03
어떤 웜·바이러스 메일이 많을까? (2007년 4월)  (0) 2007.04.24
howtoforge에 올라온 CentOS 5.0 설치에 대한 글(보편적인 내용)  (2) 2007.04.22
리눅스용 트래픽 모니터링툴  (0) 2007.04.15
Netcraft 통계발표에 처음으로 lighttpd 포함  (0) 2007.04.04
Posted by 좋은진호
TAG clamav, Virus, Worm, 메일, 바이러스, , 웜메일, 통계
Trackback 1 Comment 0

댓글을 달아 주세요

시스템이야기2007. 3. 26. 12:21

어떤 웜·바이러스 메일이 많을까? (2007년 3월)

지난 2월 분석결과에 이어 3월의 10일간 로그를 분석했다.
 
* 분석 기간 : 2007.3.14(수) 04:00 ~ 3.24(토) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 17,854건 (1일 평균 1,785건)
 
2월에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보였으며, 이번달에는 Bagle웜이 34.83%, Bagz웜이 23.95%로 여전히 꾸준한 모습이고 Virut.A가 21.51%로 눈에 띄는 증가를 보였다. 시간대별로는 오후 4시 이후부터 매시간 5%이상의 비율을 차지했으며, 특히 11시대에는 무려 8.17%나 됐다. 연속 3달간의 통계를 살펴보니 흥미롭게도 1월 10일간 건 18,719건, 2월 10일간 18,396건, 그리고 이번달에 17,854건 등 건수 변화가 많지 않고 꾸준히 웜·바이러스 메일을 들어오고 있음을 확인할 수 있다. 영화 '누가 그녀와 잤을까'에서 '6.25가 왜 일어났는지 아세요? 방심해서요.'라는 대화가 생각난다. 웜·바이러스가 꾸준히 활동하고 있으니 늘 조심하라.
 
자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 3월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

'시스템이야기' 카테고리의 다른 글

리눅스용 트래픽 모니터링툴  (0) 2007.04.15
Netcraft 통계발표에 처음으로 lighttpd 포함  (0) 2007.04.04
어떤 웜·바이러스 메일이 많을까? (2007년 3월)  (2) 2007.03.26
정보보호 안전진단, 올해는 연말까지  (2) 2007.03.19
레드햇 RHEL5 출시  (2) 2007.03.16
어떤 웜메일이 많을까? (2007년 2월)  (0) 2007.03.02
Posted by 좋은진호
TAG clamav, Virus, Worm, 메일, 바이러스, , 웜메일, 통계
Trackback 0 Comment 2

댓글을 달아 주세요

  1. 익명

    비밀댓글입니다

    2007.03.27 01:15 [ ADDR : EDIT/ DEL : REPLY ]

시스템이야기2007. 3. 2. 16:06

어떤 웜메일이 많을까? (2007년 2월)

1년전부터 메일로그를 통해 웜·바이러스메일(이하 웜메일로 표기)의 건수와 비율을 분석해왔다.
본인의 서버는 어떤 비율의 웜메일이 들어오는지 궁금한가? 우선 메일서버에 ClamAV를 설치하고, maillog를 남겨라. 그 maillog를 분석하면 된다. 분석하기가 어렵다? 저에게 얘기하면 간단한 쉘 스크립트를 제공하겠다. 단, 반드시 분석결과를 공개해야 한다. ^^*

* 분석 기간 : 2007.2.16(금) 04:00 ~ 2.26(월) 04:00 (10일간), 설연휴 포함
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,396건 (1일 평균 1,839건)

1월에는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 이번에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보인다.
KRCERT( http://www.krcert.or.kr/ ) 에서 발표한 '2007년 01월 해킹 바이러스 통계 및 분석 월보'의 '주요 웜·바이러스별 신고현황'에서도 1위가 Bagle, 2위가 Bagz이었다.
시간대별로는 1월에는 출근시간 이후인 오전 8~10시 사이의 비율이 높았으나, 이번에는 출근시간 이후에 밤시간대까지 4% 이상의 비슷한 비율을 유지했고, 20시대에만 7.84%의 높은 비율을 보였다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 2월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

'시스템이야기' 카테고리의 다른 글

정보보호 안전진단, 올해는 연말까지  (2) 2007.03.19
레드햇 RHEL5 출시  (2) 2007.03.16
어떤 웜메일이 많을까? (2007년 2월)  (0) 2007.03.02
2007년 1월 웜메일 건수와 비율은?  (0) 2007.02.22
매일경제 DNS의 SPF 레코드 설정 오류  (3) 2007.02.16
KISA 동향정보 게시판에...  (1) 2007.02.14
Posted by 좋은진호
TAG clamav, Virus, Worm, 메일, 바이러스, , 웜메일, 통계
Trackback 1 Comment 0

댓글을 달아 주세요

시스템이야기2007. 2. 22. 23:04

2007년 1월 웜메일 건수와 비율은?


* 분석 기간 : 2007.1.14(일) 04:00 ~ 1.24(수) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준 (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,719건 (1일 평균 1,872건)


작년 1월, 2월에는 SomeFool(Netsky웜)과 Mytob 웜이 50%이상, Exploit.HTML.IFrame 이 약 20%를 차지했으나, 이번 기간동안 웜별로는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 시간대별로는 이전과 같이 출근시간 이후인 오전 8~10시 사이에 26.61%로 높은 비율을 차지했다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 1월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

'시스템이야기' 카테고리의 다른 글

레드햇 RHEL5 출시  (2) 2007.03.16
어떤 웜메일이 많을까? (2007년 2월)  (0) 2007.03.02
2007년 1월 웜메일 건수와 비율은?  (0) 2007.02.22
매일경제 DNS의 SPF 레코드 설정 오류  (3) 2007.02.16
KISA 동향정보 게시판에...  (1) 2007.02.14
오픈소스 NAS 서버, FreeNAS 설치 화면  (0) 2007.02.13
Posted by 좋은진호
TAG clamav, Worm, 메일, 바이러스, , 웜메일, 웜바이러스, 통계
Trackback 0 Comment 0

댓글을 달아 주세요