맥에서는 XProtect 라는 악성코드 차단 프로세스가 존재하는데, 이걸 우회하는 악성코드를 찾았습니다. 정확하겐 토렌트 사이트였는데요...
- Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
- Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
- LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
- Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
- TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
- Little_Snitch_583_MAC_OS_X.zip
그 중에서 저 Little Snitch 쪽을 열어봤답니다. (그것보다 Little Snitch는 4.2.4가 최신입니다. 왠 무슨 허허허) 아 Little Snitch 만 딱 꼬집은건 이게 맥 방화벽 프로그램이기 때문이죠.
여니까 이런것들이 나왔답니다.
즉, 인스톨러를 실행하게 되면, 멀쩡한 모노 프레임워크를 열게 되고, 당연히 .Net 이 EXE 파일을 실행하게 되는거죠. 이걸로 인해서 Mac의 기반 XProtect를 우회하여 실행되게 된다는 말이죠. 그러나 정작 EXE 지만 윈도에선 에러만 뱉도록 되어 있습니다.
여튼 이렇게 실행된 EXE 파일은 시스템 정보를 수집한후 애드웨어를 자동으로 다운로드 하는걸로 되어 있습니다.
2015년에도 어이없게... XProtect가 Objective-See 의 주인분에게 털린적이 있었습니다(아래 그림). 그후 애플에게 보고가 되어 패치가 되었죠. 현재 트렌트 마이크로측에서는 이 EXE가 할수 있는 능력에 대해서 노 코멘트를 하고 있습니다...
보안의 애플 어디 안가네요