'C&C'에 해당되는 글 1건

  1. 2009.11.23 또 다른 아이폰 웜 발견 (6)
IT이야기2009. 11. 23. 19:19
11월 초에 Ikee worm이름의 아이폰 웜(iPhone Worm)이 최초로 발견되었다. 그리고, F-Secure의 'Malicious iPhone worm' 글에 따르면 또 다른 아이폰 웜이 발견되었다.

아이폰 보호 기능을 해제하고, default 비밀번호를 변경하지 않은 경우에 감염이 된다.

이 웜은 리투아니아에 있는 웹기반 C&C(command & control center) 서버에 접속한다. 그리고, 이 때 아이폰의 시스템 정보(uname)와 SQLite 정보(SQLITE 환경변수), IP정보(ifconfig) 등을 저 서버에 넘겨주게 되어 있다. F-Secure에 따르면 아직 웜이 확산되지는 않았지만 위와 같은 정보들을 빼내가기 때문에 Ikee worm보다는 더 심각한 웜으로 보고 있다.

저 리투아니아에 있는 C&C 서버에 /xml/a.php?name= 값으로 접속하면, 404 not found 페이지를 보여준다. a.php 페이지가 이제 지워졌으니 문제없겠구나 생각할 것 수 있을 것 같다. 그러나 실제 지워지지 않았다. 마치 파일이 없는 것처럼 눈속임 화면을 뿌려준 것이다. 실제로는 200 OK.

iphone worm C&C서버

[ 404 페이지인 것처럼 속이고 있다. ]


HTTP/1.1 200 OK
Date: Mon, 23 Nov 2009 09:47:26 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15
X-Powered-By: PHP/5.2.0-8+etch15
Content-Length: 228
Connection: close
Content-Type: text/html; charset=UTF-8

<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /xml/a.php?name=.... was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.34 Server at 92.61.38.16 Port 80</ADDRESS>
</BODY></HTML>Connection closed by foreign host.


그리고,  http://www.malwaredomainlist.com/mdl.php 에서 목록을 보면 /xml/p.php 페이지도 아이폰 웜이 호출하는 페이지로 되어 있다. 마찬가지로 404 페이지인 것 처럼 눈속임을 하고 있다.

먹을 것이 많아지니 벌레가 들끓는다.


최초 웜에 대한 것은 다음 글을 참고하기 바란다.

Posted by 좋은진호

댓글을 달아 주세요