맥 운영체제를 대상으로 하는 백도어 악성코드 확산 'iWorm'

2014. 10. 3. 20:33    작성자: ONE™

맥 운영체제를 노린 새로운 악성코드가 확산되고 있어 맥 사용자의 각별한 주의가 요구되고 있습니다.

미 IT매체 '9to5mac'은 인터넷 러시아 보안업체 '닥터웹'을 인용해 맥 운영체제를 타겟으로 하는 봇넷(Botnet) 형식의 악성코드, 통칭 'Mac.BackDoor.iWorm' 활동이 전 세계적으로 탐지되고 있다고 보도했습니다.

이 악성코드에 감염된 맥은 reddit.com 사이트에 접속 후 공격자의 서버 주소를 가져오며, 사용자 몰래 포트를 열고 공격자의 지시를 기다리게 됩니다. 이후 분산 서비스 거부 공격(디도스)에 동원되거나 개인정보를 탈취하기 위해 사이트 접속을 가로채는 등의 여러가지 악의적인 목적으로 이용될 수 있습니다. *구체적인 작동 원리와 소스코드는 링크에서 확인할 수 있습니다.

닥터웹은 이 악성코드는 맥을 켤 때 자동으로 실행되는 데몬 파일 형태로 시스템에 존재하는데, 봇넷 트래픽 흐름을 추적한 결과 전 세계적으로 1만 7,000여대의 맥 컴퓨터가 이 악성코드에 감염된 것으로 보인다고 추정했습니다. 닥터웹이 내놓은 자료에 보면 대부분의 감염된 맥은 미국과 캐나다, 유럽 등에 분포해 있으며, 아시아권에서는 발견 사례가 없습니다. 다만, 이 악성코드가 정확히 어떤 경로로 유포되고 시스템에 설치되는지는 뚜렷한 분석을 내놓지 못하고 있습니다.

현재 공격자의 서버 주소가 담긴 reddit.com 사이트의 게시물은 삭제된 상태이고 아직 피해 사례는 확인되지 않고 있지만, 언제든 공격자가 익명으로 새로운 게시물을 올릴 수 있고 악성코드가 reddit.com의 검색 기능을 이용해 이 게시물을 탐지하기 때문에 안심하긴 이른 상황입니다. 또한, 앞으로 변종이 등장할 가능성도 배제할 수 없습니다.

감염 여부 확인 방법

보통 이런 악성코드가 창궐하면 애플의 XProtect 정의가 업데이트되면서 맥이 스스로 치유되는 경우가 대부분입니다. 하지만 XProtect 정의가 업데이트되기 전에 자신의 맥이 iWorm에 감염되었는지 점검하고 싶은 분은 아래 방법을 통해 악성코드 감염 여부를 판별할 수 있습니다. 악성코드가 사용자 몰래 생성하는 파일과 폴더가 있는지 확인하는 방법입니다.

우선 파인더에서 command + shift + G 키를 누른 후 아래 경로를 넣었을 때 '폴더를 찾을 수 없습니다.'라는 문구가 나오는지 확인합니다. ▼

/Library/Application Support/JavaW

이후 같은 방법으로 아래 경로에 접속하여 이름이 'com.JavaW'로 시작하는 파일이 있는지 확인합니다. /Library/LaunchDaemons/ 폴더 자체와 그 안에 들어 있는 다른 파일은 시스템이 돌아가는데 중요한 파일임으로 삭제하시면 안됩니다. ▼

/Library/LaunchDaemons/

com.JavaW... 파일과 JavaW 폴더가 시스템에 존재하지 않으면 맥이 이 악성코드에 감염되지 않은 것입니다.



참조
DR.Web - The Mac.BackDoor.iWorm threat in detail
9to5mac - New Mac botnet malware uses Reddit to find out what servers to connect to

관련 글
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
• 맥용 안티바이러스 제품 18종 벤치마크 테스트 결과
• 휴대폰 소액결제 유도하는 '맥용' 악성 프로그램 발견
• 맥이 바이러스에 걸렸다? 맥에서 네이버 또는 다음에 접속했는데 금융감독원 팝업창이 뜬다면...


    
  1. 이전 댓글 더보기
  2. Blog Icon
    아니...ㅋㅋ

    /Library/LaunchDaemons/ 이거 검색된다고 감염된게 아니라 그안에 com.JavaW 파일이 있으면 안된다는거에요 ㅋㅋㅋ 끝까지 읽어보세용....

  3. Blog Icon
    이민희

    방금 확인 했는데 파일은 없네요...
    좋은 정보 감사합니다.

  4. Blog Icon
    신조

    다행이네요. 없네요.. 좋은 정보 고맙습니다.

  5. Blog Icon
    한별대디

    좋은 정보 감사합니다. 아직은 안심하고 쓰는 단계인 모양입니다. ^^

  6. 저도 다행히 없네요.. 좋은 정보 감사합니다.

  7. 다행히 저도 무사하네요 감사합니다 :)

  8. Blog Icon
    godmania

    감사합니다. 좋은 정보네요.. ~~

  9. Blog Icon
    oyster

    저도 없네요 ㅎㅎ
    감사합니다^^

  10. Blog Icon

    와 좋은 정보 감사합니다. ㅎ

  11. Blog Icon
    pig

    휴...다행히 저도 없네요. 정보 정말 감사합니다.

  12. Blog Icon
    제이C

    역시나 저는 없네요.
    역시나 꿀팁 감사드립니다!

  13. Blog Icon
    식용달팽이

    좋은 팁 감사합니다. 시스템이 이상해서 포맷하고 밀 생각을 하고 있었는데, 다행히 바이러스는 없네요;; 그렇다면 제가 잘못 사용해서 이런 거군요 ㅠㅠ;

  14. Blog Icon
    닉노

    맨날 레딧 하는데 다행히 감염되진 않았네요
    며칠 안들어가야 되려나

  15. 예방하는 방법은 없나요?

  16. Blog Icon
    kimthun

    늘 좋은 글 감사합니다.
    다행이 발견되지 않네요.

  17. Blog Icon
    novrain

    좋은 글에 감사드립니다.
    다행이도 전 걸리지 않았네요.

  18. Blog Icon
    알베르토

    저도 급히 확인해봤는데
    다행이 발견되지 않더라구요

  19. Blog Icon
    ilovemac

    방금 확인해 보니 저는 아직 없네요. 워낙 사용을 안해서 그런가..ㅠㅠ
    좋은 정보 감사합니다.

  20. 개인적으로는 안전한 사이트만 접속하고 있다고 생각했었는데, 지금 보니까 JavaW 파일과 com.JavaW.plist가 둘 다 있어서 감염이 되어 있네요 ㅜㅜ
    지금 bitdefender trial 버젼 받아서 삭제하려고 합니다. 그 외에 추가적으로 더 해야하는 것이 있나요?

  21. Blog Icon
    두더쥐

    저는 아바스트만 쓰고 있는데, 지금 확인해 봐야 겠어요.