파이어폭스 사용자 정보 유출 Firelogin 발견

최근들어 웹 브라우저 파이어폭스(Firefox)와 관련된 악성코드가 2009년 9월 3일 발견되어 ASEC에서도 관련 글을 게시한 바가 있었다. 이와 함께 2009년 9월 7일 다시 파이어폭스의 사용자가 접속한 웹 사이트의 사용자 계정과 암호를 외부로 유출하는 악성코드가 발견되었다.

이 번에 발견된 파이어폭스의 사용자 정보를 유출하는 악성코드는 마이크로소프트 비주얼 베이직(Microsoft Visual Basic)으로 제작 되어 있으며 실행 압축은 되어 있지 않다.

해당 악성코드에 감염이 될 경우 파이어폭스 설치 경로의 폴더에서 install.log 파일이 존재하는지 확인하여 파이어폭스 웹 브라우저가 설치되어 있는지를 확인한다.

해당 컴퓨터 시스템에서 install.log 파일이 존재한다면 독일에 위치한 특정 시스템으로 감염 날짜 및 시각 그리고 감염된 시스템의 사용자 계정명을 전송한다.

그리고 파이어폭스에서 사용하는 다수의 사용자 인증과 관련된 DLL 파일들과 사용자가 웹 사이트 접속시 자동 입력 되도록 설정한 사용자 계정명과 암호가 암호화되어 보관되는 DB 파일들을 메모리로 로드한다.

메모리로 로드한 DB 파일들을 복호화 한 후 웹 사이트 주소, 사용자 계정명 그리고 암호를 추출하여 이를 독일에 위치한 특정 시스템으로 전송을 시도한다.

해당 악성코드가 발견된 2009년 9월 7일까지 약 300명의 사용자 정보가 해당 시스템의 log 폴더에 존재하였다.

V3 제품군에서는 해당 악성코드를 다음과 같이 진단 한다.

Win-Trojan/Firelogin.40960

파이어폭스 웹 브라우저의 사용자가 증가함에 따라 악성코드 제작자들 역시 파이어폭스 웹 브라우저에 대한 취약점 또는 사용자 정보를 유출할 수 있는 공격 방법들을 연구하는 것으로 보여진다.

이러한 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.