윈도와 맥 OSX 뿐만 아니라 윈도 모바일 기기와 VM웨어 가상머신까지 이용하는 지능형 악성코드가 발견됐다.
씨넷은 21일(현지시간) 보안 전문회사인 인테그로가 지난달 처음으로 발견한 이 악성코드가 ‘크라이시스(Crisis)'라고 불린다고 보도했다.
크라이시스는 본래 사용자의 이메일, 인스턴트 메시지, 웹사이트 방문기록을 중간에서 탈취할 수 있는 맥용 트로이 목마로 알려져 있다. 시만텍은 추가로 이 악성코드가 OSX는 물론 윈도 사용자들까지 공격 대상으로 삼고 있다는 점을 발견했다.
크라이시스는 사회공학기법을 이용해 사용자들이 자바아카이브(JAR), 어도비 플래시 인스톨러의 파일 마스쿼레이딩 등을 설치할 때 악성코드를 같이 설치한다.
이 악성코드는 컴퓨터의 운영체제(OS)를 확인한 뒤 이에 맞는 추가 파일을 설치한다.
이에 대해 시만텍 타카시 카츠키 보안 연구원은 지난 20일(현지시간) “이것은 가상머신을 통해 배포가 시도된 최초의 악성코드”라고 자신의 블로그에 게재했다.
그는 이어 “많은 악성코드가 앞으로는 VM웨어와 같은 가상머신 모니터링 애플리케이션을 찾았을 때 활동을 중단하는 식으로 악성코드 분석툴의 검색을 피하는 것으로 보인다”고 설명했다.
크라이시스는 VM웨어 가상머신 이미지를 검색해 여기에 VM웨어 플레이어 툴을 사용해 악성코드 파일을 배포한다. 이 툴은 한 컴퓨터에서 여러 개의 OS를 사용할 수 있도록 하는 프로그램이다.
카츠키 연구원은 “VM웨어 소프트웨어가 가진 보안취약점을 사용한 것이 아니나 모든 가상화 환경을 구현하는 소프트웨어에서 활용될 수 있다”고 밝혔다. 가상머신은 호스트 머신의 단순한 파일이나 일련의 파일을 말한다. 이러한 파일들은 대개 가상머신이 실제로 작동하지 않을 때도 직접 조작할 수 있다.
관련기사
- 웹하드 영화파일 이용 악성코드 주의보2012.08.23
- 올림픽 美체조선수 약물복용 악성코드 등장2012.08.23
- 윈도·맥 공격 악성코드 3년 전 취약점 이용2012.08.23
- 해커들, 해킹 기법 대세는 'SQL인젝션'2012.08.23
크라이시스의 윈도 버전은 또한 윈도 모바일 기기와 컴퓨터를 연결하는 모듈을 설치하는 과정에서 배포되기도 했다. 그러나 이는 원격 애플리케이션 프로그래밍 인터페이스(API)를 사용하기 때문에 안드로이드나 iOS기기에는 영향을 미치지 않았다.
뚀 카츠키 연구원은 “추가적인 분석을 통해 새로운 방식의 악성코드를 자세히 분석하는 중”이라고 말했다. 시만텍은 50개 가량의 기기에서 감염사례가 발생했다고 밝혔다.