안티 바이러스 기관들은 모질라 파이어폭스의 확장을 기반으로 하는 트로이안 목마들이 발견되었음을 보고하고 있다. 맥아피가 FormSpy와 Sophos에 Troj/FireSpy-A라 이름을 붙인 이번 트로이안은 브라우저에서 입력되는 암호와 은행 이용 기록 등의 정보를 수집하여 외부의 컴퓨터로 전송한다. 또한 ICQ, POP3, IMAP, FTP 암호를 기록하는 윈도우즈 실행 파일도 함께 설치된다. 이 트로이안은 파이어폭스 안에서 정당한 확장인 numberedlinks 확장으로 위장한다.
FormSpy 트로이안은 컴퓨터에 감염되기 위해 어떠한 모질라 파이어폭스의 보안 결함도 이용하지 않으며, 대신 Downloader-AXM라 알려진 윈도우즈용 악성 코드에 의해 자동적으로 다운로드되어 설치되는데, Downloader-AXM는 오직 트로이안 목마를 부정하게 다운로드하고 실행시기키 위한 목적으로 만들어진 프로그램이다. FormSpy는 일단 Downloader-AXM에 의해 다운로드되면 파이어폭스 사용자 프로필 파일들을 바로 수정함으로써 정상적인 파이어폭스 설치 절차(그리고 경고 메시지)를 완전히 우회하여 파이어폭스에 설치된다.
현재로서 FormSpy에 감염되기 위해서는 이미 Downloader-AXM이 설치되어 있어야 한다. Downloader-AXM는 이번주 초 최초로 발견되었으며, 월마트에서 온 주문 확인 메일로 위장한 가짜 메일에 첨부된 윈도우즈 실행 파일의 형태로 살포되었다. 하지만 맥아피는 마이크로소프트 인터넷 익스플로러의 3년 전의 VBS/Psyme 취약점을 이용하여 FormSpy를 설치하려는 시도도 발견되었다고 하였다.
감염 여부를 검사하기 위해서는 설치된 확장 목록(도구 메뉴의 확장 기능을 선택)을 살펴 보면 된다. 설치하지 않은 “Numbered Links 0.9″가 목록에 있는 것은 감염의 가능성을 나타낸다. 맥아피의 FormSpy 바이러스 프로필에 이 트로이안에 의해 설치되는 파일에 대한 더욱 자세한 정보가 있다. 맥아피는 현재로서 감염자의 수가 적을 것으로 보고 있다.
테크웹은 FormSpy에 대한 기사를 게재하였다. 기사에서 맥아피 Avert Labs의 바이러스 연구 관리자인 크레이그 슈머거는 FormSpy 트로이안이 합법적인 numberedlinks 확장으로 위장하는 것이 용이하였음에 관심을 가지고 있다고 말하였으며 파이어폭스 개발자들은 이를 참고할 것을 권하였다.
기사에서 이용된 링크를 보내 준 로즈맨과 유하-마티 라우리오께 감사드린다.
원문:mozillaZine: Anti-Virus Firms Warn of Trojan Horse Mozilla Firefox Extension
Thom wrote on