지오트 바이러스 분석실(GCERT)은 지난 13일 외국의 Mac OS 관련 사이트인 MacRumors 포럼사이트에서 latestpics.tgz 라는 파일이 유포된것을 확인했으며, 이 파일이 Macintosh OS X version 10.4 를 감염시키는 최초의 맥용 웜으로 확인했다고 18일 밝혔다.

Apple 사가 발표한 Mac OS X v10.4 는 Tiger 라는 이름으로도 사용되며, 맥 OS X 이후 5번째 메이저 업그레이드 버전이다.

10.0(Cheetah) -> 10.1(Puma) -> 10.2(Jaguar) -> 10.3(Panther) -> 10.4(Tiger)

분석실 관계자는 “웜 제작자는 출시예정인 Mac OS X 6번째 버전인 Leopard Mac OS X v10.5 의 가장 최근의 스크린샷(latestpics)이라고 위장해 유포하였는데 Mac OS X 10.5 Leopard 는 v10.4 인 Tiger 의 차기버전으로 2006년 말에 발표될 예정이기 때문에 많은 맥 사용자가 관심을 가지고 있다”고 말했다.

유니큐어(KAV)에서는 IM-Worm.Mac.Leap.a 라는 진단명으로 업데이트 되었으며, 애드큐어에도 추가될 예정이다.

IM-Worm.Mac.Leap.a는 매킨토시 운영체제용 메신저 프로그램(Instant Messenger)인 iChat 을 통해 자신을 확신시키는 웜 형태로 감염이 이루어지며 iChat 에 등록된 또 다른 대화상대에게 latestpics.gz(40,893 바이트) 라는 압축파일을 전송한다.

latestpics.tgz 로 저장되고 클릭하면 latestpics(39,596 바이트)라는 그림파일로 위장한 웜이 실행된다.

JPG 이미지 리소스를 가지고 있는 파일은 ._latestpics(43,694 바이트) 파일이다.

아래는 해당 웜 압축파일을 한글 윈도우XP 에서 등록정보를 확인한 화면이다.

임시폴더에 아래와 같은 파일을 생성한다.

/tmp/hook

/tmp/apphook

/tmp/apphook.tar

/tmp/pic.gz

/tmp/pic

/tmp/latestpics

/tmp/lastespics.tar

/tmp/lastespics.tar.gz

/tmp/lastespics.tgz

2006년 2월 17일 외국에서는 Inqtana 라는 진단명의 새로운 맥용 악성프로그램이 추가 발견됐다.

분석실 관계자는 “매킨토시용 운용체제 사용자도 악성프로그램의 공격과 보안에 각별한 주의가 요망된다”고 강조했다.

[박은수 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>