본문 바로가기

새소식/Mac

맥 운영체제를 대상으로 하는 백도어 악성코드 확산 'iWorm'

맥 운영체제를 노린 새로운 악성코드가 확산되고 있어 맥 사용자의 각별한 주의가 요구되고 있습니다.

미 IT매체 '9to5mac'은 인터넷 러시아 보안업체 '닥터웹'을 인용해 맥 운영체제를 타겟으로 하는 봇넷(Botnet) 형식의 악성코드, 통칭 'Mac.BackDoor.iWorm' 활동이 전 세계적으로 탐지되고 있다고 보도했습니다.

이 악성코드에 감염된 맥은 reddit.com 사이트에 접속 후 공격자의 서버 주소를 가져오며, 사용자 몰래 포트를 열고 공격자의 지시를 기다리게 됩니다. 이후 분산 서비스 거부 공격(디도스)에 동원되거나 개인정보를 탈취하기 위해 사이트 접속을 가로채는 등의 여러가지 악의적인 목적으로 이용될 수 있습니다. *구체적인 작동 원리와 소스코드는 링크에서 확인할 수 있습니다.

닥터웹은 이 악성코드는 맥을 켤 때 자동으로 실행되는 데몬 파일 형태로 시스템에 존재하는데, 봇넷 트래픽 흐름을 추적한 결과 전 세계적으로 1만 7,000여대의 맥 컴퓨터가 이 악성코드에 감염된 것으로 보인다고 추정했습니다. 닥터웹이 내놓은 자료에 보면 대부분의 감염된 맥은 미국과 캐나다, 유럽 등에 분포해 있으며, 아시아권에서는 발견 사례가 없습니다. 다만, 이 악성코드가 정확히 어떤 경로로 유포되고 시스템에 설치되는지는 뚜렷한 분석을 내놓지 못하고 있습니다.

현재 공격자의 서버 주소가 담긴 reddit.com 사이트의 게시물은 삭제된 상태이고 아직 피해 사례는 확인되지 않고 있지만, 언제든 공격자가 익명으로 새로운 게시물을 올릴 수 있고 악성코드가 reddit.com의 검색 기능을 이용해 이 게시물을 탐지하기 때문에 안심하긴 이른 상황입니다. 또한, 앞으로 변종이 등장할 가능성도 배제할 수 없습니다.

감염 여부 확인 방법

보통 이런 악성코드가 창궐하면 애플의 XProtect 정의가 업데이트되면서 맥이 스스로 치유되는 경우가 대부분입니다. 하지만 XProtect 정의가 업데이트되기 전에 자신의 맥이 iWorm에 감염되었는지 점검하고 싶은 분은 아래 방법을 통해 악성코드 감염 여부를 판별할 수 있습니다. 악성코드가 사용자 몰래 생성하는 파일과 폴더가 있는지 확인하는 방법입니다.

우선 파인더에서 command + shift + G 키를 누른 후 아래 경로를 넣었을 때 '폴더를 찾을 수 없습니다.'라는 문구가 나오는지 확인합니다. ▼

/Library/Application Support/JavaW

이후 같은 방법으로 아래 경로에 접속하여 이름이 'com.JavaW'로 시작하는 파일이 있는지 확인합니다. /Library/LaunchDaemons/ 폴더 자체와 그 안에 들어 있는 다른 파일은 시스템이 돌아가는데 중요한 파일임으로 삭제하시면 안됩니다. ▼

/Library/LaunchDaemons/

com.JavaW... 파일과 JavaW 폴더가 시스템에 존재하지 않으면 맥이 이 악성코드에 감염되지 않은 것입니다.



참조
DR.Web - The Mac.BackDoor.iWorm threat in detail
9to5mac - New Mac botnet malware uses Reddit to find out what servers to connect to

관련 글
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
• 맥용 안티바이러스 제품 18종 벤치마크 테스트 결과
• 휴대폰 소액결제 유도하는 '맥용' 악성 프로그램 발견
• 맥이 바이러스에 걸렸다? 맥에서 네이버 또는 다음에 접속했는데 금융감독원 팝업창이 뜬다면...