'웜바이러스'에 해당되는 글 2건

  1. 2009.11.23 또 다른 아이폰 웜 발견 (6)
  2. 2007.02.22 2007년 1월 웜메일 건수와 비율은?
IT이야기2009. 11. 23. 19:19
11월 초에 Ikee worm이름의 아이폰 웜(iPhone Worm)이 최초로 발견되었다. 그리고, F-Secure의 'Malicious iPhone worm' 글에 따르면 또 다른 아이폰 웜이 발견되었다.

아이폰 보호 기능을 해제하고, default 비밀번호를 변경하지 않은 경우에 감염이 된다.

이 웜은 리투아니아에 있는 웹기반 C&C(command & control center) 서버에 접속한다. 그리고, 이 때 아이폰의 시스템 정보(uname)와 SQLite 정보(SQLITE 환경변수), IP정보(ifconfig) 등을 저 서버에 넘겨주게 되어 있다. F-Secure에 따르면 아직 웜이 확산되지는 않았지만 위와 같은 정보들을 빼내가기 때문에 Ikee worm보다는 더 심각한 웜으로 보고 있다.

저 리투아니아에 있는 C&C 서버에 /xml/a.php?name= 값으로 접속하면, 404 not found 페이지를 보여준다. a.php 페이지가 이제 지워졌으니 문제없겠구나 생각할 것 수 있을 것 같다. 그러나 실제 지워지지 않았다. 마치 파일이 없는 것처럼 눈속임 화면을 뿌려준 것이다. 실제로는 200 OK.

iphone worm C&C서버

[ 404 페이지인 것처럼 속이고 있다. ]


HTTP/1.1 200 OK
Date: Mon, 23 Nov 2009 09:47:26 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15
X-Powered-By: PHP/5.2.0-8+etch15
Content-Length: 228
Connection: close
Content-Type: text/html; charset=UTF-8

<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /xml/a.php?name=.... was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.34 Server at 92.61.38.16 Port 80</ADDRESS>
</BODY></HTML>Connection closed by foreign host.


그리고,  http://www.malwaredomainlist.com/mdl.php 에서 목록을 보면 /xml/p.php 페이지도 아이폰 웜이 호출하는 페이지로 되어 있다. 마찬가지로 404 페이지인 것 처럼 눈속임을 하고 있다.

먹을 것이 많아지니 벌레가 들끓는다.


최초 웜에 대한 것은 다음 글을 참고하기 바란다.

Posted by 좋은진호

댓글을 달아 주세요

  1. 항상 그렇죠. 해킹, 바이러스 등이 리눅스나 맥OS에서보다 대부분 윈도우를 대상으로 하고 있는것처럼.....아이폰도 많이 팔리니까 그만큼 위험에 점점 더 크게 노출되겠죠- 다행히도 jailbreak 한 경우에만 해당되거나 기본비밀번호를 바꾸면 해당이 없는 등 아직은 쉽게 빗겨나갈 수 있지만 언제 어떻게 될지 모를일인것 같습니다 ㅎ 애플에서 얼마나 자주 업데이트를 해주느냐도 관건이겠네요-

    2009.11.23 20:11 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 아이폰 웜도 점점 진화를 할테니, 지금과는 비교안되는 위험한 벌레가 등장할 수도...

      2009.11.24 12:33 신고 [ ADDR : EDIT/ DEL ]
  2. 하필이면 딱 이럴때 시작되는 군요....
    너무 절묘한 타이밍이네요...
    아... 이제는 맥을 사용하면서도 백신 프로그램 설치해야만 하는 일이 발생할 수 있겠네요..;;
    그렇게 생각하니 마냥 웃고 넘어갈 만한 소식은 아니네요..

    2009.11.27 23:15 [ ADDR : EDIT/ DEL : REPLY ]
    • 오~ erin.js.lee님 블로그에서 뵙네요.
      리눅스와 맥을 둘 다 쓰시는구나.

      국내 출시 시점과는 절묘하긴하죠. ㅋㅋ
      IT 기기의 영역이 확산되는 만큼 웜도 점점 자기 영역을 넓혀가네요.

      2009.11.30 19:28 신고 [ ADDR : EDIT/ DEL ]
  3. ㅡ.ㅡ 아이폰이 대단하긴 대단한가 봅니다...

    2009.12.21 09:25 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 아이폰을 포함한 스마트폰의 위력이겠죠.
      앞으론 구글 안드로이드나 곧 공개될 삼성의 바다 플랫폼도 벌레들이 생기겠죠.
      미래엔 모바일 백신 시장도 재미있을 듯... ^^

      2009.12.22 05:02 신고 [ ADDR : EDIT/ DEL ]

시스템이야기2007. 2. 22. 23:04

* 분석 기간 : 2007.1.14(일) 04:00 ~ 1.24(수) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준 (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,719건 (1일 평균 1,872건)


작년 1월, 2월에는 SomeFool(Netsky웜)과 Mytob 웜이 50%이상, Exploit.HTML.IFrame 이 약 20%를 차지했으나, 이번 기간동안 웜별로는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 시간대별로는 이전과 같이 출근시간 이후인 오전 8~10시 사이에 26.61%로 높은 비율을 차지했다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 1월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호

댓글을 달아 주세요