러시아 Anti-Virus 업체 Dr.web 신종 mac OS X 백도어 악성코드 발견

• 러시아 Anti-Virus 업체인 Dr.web에 의해 mac os X 기반의 백도어 악성코드인 `Mac.BacDoor.iworm’이 발견됨
  (`14.09.29)
    ※ 백도어 : 시스템이 고장났을 경우 정상적인 인증 과정을 거치지 않고 운영체제나 프로그램 등에 접근하여 
        점검하기 위해 시스템 설계자가 만들어 놓은 보안이 제거된 비밀 통로

주요내용

• Dr.web에 따르면 ‘Mac.BacDoor.iWorm'은 mac OS 중 특정 경로에 com.JavaW라는 파일로 존재하며, 데몬 파일 형태로 mac 실행 시 자동실행 되도록 설정
    ※ mac pc의 악성코드 감염여부는 directory/Library/Application Support/JavaW/에 com.JavaW 파일의 존재
        여부로 확인
  - 감염된 mac PC의 ip 주소를 해커에게 전달하기 위해 reddit.com 사이트를 사용
     ※ 악송코드는 pc의 현재 날짜를 이용한 해시 값(MD5 처음 8바이트)을 reddit.com에 검색 쿼리로 자동 전송
         하며, 이때 해커는 웹서버 로그에 남겨진 접속 기록을 통해 감염 mac pc 정보(ip주소, 포트) 수집
• Dr.web이 봇넷 트래픽 흐름을 추적한 결과 전 세계적으로 1만 7천여대의 mac PC가 백도어 악성코드에 감염된 것으로 추정
  - 감염된 mac PC는 대부분 유렵과 미국, 캐나다 등에 분포되어 있으며 아시아권에서는 아직 발견 사례가 없음
  - 서버들의 ip 주소와 포트를 제외한 다른 정보 유출 사례는 발견되고 있지 않으나 후에 DDos공격에 이용되거나
    정보 탈취를 위한 사이트 접속을 가로채는 등의 피해로 확산될 수 있음
     ※ DDos : 분산 서비스 거부 공격이라고도 부르는 공격으로 감염된 여러대의 컴퓨터를 동시에 동작시켜 특정 
        사이트를 공격하는 해킹 방법

< mac PC 감염 분포도 >

• 백도어 악성코드가 어떠한 경로로 유포되고 시스템에 설치되는지에 대한 뚜렷한 분석은 나오지 않은 상태임

[출처]
1. http://www.techworm.net/2014/10/iworm-os-x-botnet-malware.html
2. http://www.intego.com/mac-security-blog/iworm-botnet-uses-reddit-as-command-and-control-center/