시만텍 연구원에 따르면, 6월에 발견된 멜웨어인 크라이시스(Crisis) 윈도우 버전은 VM웨어 가상 머신과 윈도우 모바일 기기, 그리고 부착형 USB 드라이브를 감염시킬 수 있다.
맥 OS, 윈도우 사용자를 타깃으로 한 트로이 목마 프로그램인 크라이시스는 6월 24일 안티바이러스 업체인 인테고에 의해 발견됐다.
이 멜웨어는 스카이프 전화 통화를 기록할 수 있으며, 아디움이나 마이크로소프트 메신저와 같은 인스턴트 메시징 프로그램에서 나오는 트래픽을 캡처하고, 파이어폭스 또는 사파리 브라우저로 웹사이트를 방문한 기록을 추적할 수 있다.
크라이시스는 사회 과학적 공격을 통해 사용자를 속여 의심스러운 자바 애플릿을 실행하게 해 배포된다. 이 애플릿은 윈도우 또는 맥 OS X에서 실행된다.
시만텍 연구원 다카시 카츠키는 블로그에서 이 멜웨어는 감염된 컴퓨터에서 VM웨어 가상 머신 이미지를 검색한다. 하나의 이미지가 발견되면 그 이미지에 탑재된 뒤, VM웨어 플레이 툴을 사용함으로써 그 이미지 자체를 복사한다고 전했다.
카츠기는 "이는 가상 머신을 감염시키는 첫번째 멜웨어일지도 모른다"고 말했다.
안티바이러스 업체인 카스퍼스키 연구소의 보안 연구원들은 모르컷(Morcut)이라는 이름으로 크라이시스 멜웨어를 발견했었다. 이 업체는 모르컷(Morcut)에 트로이 목마 기능이 있다는 것을 확인했다.
카스퍼스키 연구원 세르게이 골로바노프는 이메일을 통해 모르컷은 가상 머신으로부터 온라인 쇼핑에 사용되는 재무적인 정보를 포함한 데이터를 훔치고 가로채는 기능을 갖고 있다고 전했다.
멜웨어 저작자는 그들의 트로이 목마가 안티바이러스 제품들에게 발견되지 않을 새로운 변종이라 확신하고 만들었다는 주요 증거가 보인다.
이에 대응해 보안에 민감한 일부 사용자들은 온라인 뱅킹, 온라인 쇼핑, 그리고 가상 머신에서 일어나는 다른 민감한 활동을 자제하고 있다.
수많은 멜웨어 위협은 사용자들로 하여금 타성에 젖게 만든다. 일반적으로 이는 가상화 환경에서 의심스러운 프로그램을 실행되는 것을 관측하는 보안 연구원들에게 방해요소가 된다.
골로바노프는 "모르컷의 목적은 많은 시스템 내부에 침투해 최대한 많은 정보를 훔칠 수 있도록 하는 것인데, 이에 실패했다"고 설명했다.
카츠키는 "멜웨어 저작자에게 있어서 이것은 비약적인 발전일지 모른다"고 말했다. 게다가 VM웨어 가상머신에 감염시킨 크라이시스 윈도우 버전은 또한 연결된 윈도우 모바일 기기의 시스템도 감염되도록 한다.
그러나 시만텍 연구원들은 이런 모듈이 나왔다는 것을 알지 못했다. 카츠키는 "최근 이 모듈의 복사본을 갖고 있지 못하며 이런 이유로 좀더 상세하게 분석할 수 있도록 이것을 구하고 있다"고 말했다.
크라이시스/ 모르컷 멜웨어에 의해 감염된 컴퓨터의 수는 그리 많은 숫자는 아니다. 카스퍼스키 연구소는 이탈리아, 멕시코, 이란, 터키, 이라크, 오만, 브라질, 카자흐스탄, 키르기스스탄, 타지키스탄 등에 위치한 총 21대가 피해를 입었다고 밝혔다.
골로바노프는 "이것은 모든 피해자들의 숫자가 아니다. 다른 업체에서도 발견했을 지 모른다"고 말했다.
예전에 인테코의 보안 연구원들은 크라이시스 코드의 일부는 해킹팀이라 불리는 이탈리아 기업에 의해 수사기관의 감시 목적용으로 만들어진 상업적인 트로이 목마 프로그램과 연결고리가 있다고 말했다.
감염 수가 적고 전 세계로 널리 배포됐다는 것은 이 멜웨어가 불특정 다수보다는 특정 타깃을 대상으로 사용되어졌다고 추정할 수 있다. editor@itowrld.co.kr