세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
中, 두 개의 웜 바이러스가 PC 17만 5,000대 감염
  |  입력 : 2017-02-24 10:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘Worm.VBcode!1.6521’ PC 12만여대, ‘Worm.Win32.FakeFolder.f’ 5만여대 감염
2월 첫째 주~셋째 주 피싱 사이트 5만 4,713개 탐지돼


[보안뉴스 온기홍= 중국 베이징] 중국에서 이달 중순 현재 웜(Worm) 바이러스 ‘Worm.VBcode!1.6521’와 ‘Worm.Win32.FakeFolder.f’가 모두 17만 5,000대의 PC를 감염시킨 것으로 드러났다. 중국에서 2월 첫째 주부터 셋째 주(2월 1일~19일)까지 정보보안업체가 탐지한 피싱 웹사이트는 5만 4,713개에 달했고, 누리꾼 연인원 20만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 ‘Worm.Win32.FakeFolder.f’, 5만 2,171대 PC 감염시켜
중국 정보보안업체인 루이싱정보기술은 보안시스템을 써서 모니터링하고 누리꾼들의 신고를 종합한 결과, 웜 바이러스 ‘Worm.Win32.FakeFolder.f’가 지난 2월 10일 현재 중국에서 5만 2,171대의 PC를 감염시킨 것을 확인했다고 밝혔다.

웜 바이러스 ‘Worm.Win32.FakeFolder.f’는 컴퓨터에 깔린 바이러스퇴치 프로그램의 탐지·퇴치를 피하며, 실행 중인 보안 프로그램을 중지시킨다. 또 레지스트리 하이재킹 항목을 만들어 바이러스퇴치 S/W가 활동을 개시하는 것을 막고, 나아가 보안 S/W 아이콘을 삭제한 데 이어 이를 숨긴다고 이 회사는 설명했다.

이 웜 바이러스를 만든 세력은 바이러스가 수동으로 삭제되는 것을 피하기 위해 컴퓨터 OS의 안전모드를 없앤다. 또한, 웜 바이러스는 PC 바탕화면에 여러 피싱 웹사이트의 바로가기를 만들고 PC 사용자가 해커가 지정한 웹사이트에 들어가게 만든다. 이를 통해 금전 편취를 시도한다.

컴퓨터가 웜 바이러스에 감염된 뒤, PC 사용자는 중요한 개인정보를 도난당하고 재산의 안전도 위협받는 문제에 직면하게 된다. 이 웜 바이러스 ‘Worm.Win32.FakeFolder.f’에 대한 경계 등급은 별 다섯 개 가운데 네 개다.

▲ 2월 1일~19일 중국내 주요 PC 바이러스(출처 : 중국 루이싱정보기술)

中 ‘Worm.VBcode!1.6521’, PC 약 13만대 감염
웜 바이러스 ‘Worm.VBcode!1.6521’이 2월 16일 현재 12만 2,960대의 PC를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다. 이 웜 바이러스는 파일 폴더 아이콘을 써서 위장함으로써 PC 사용자가 클릭하도록 유도하는 수법을 쓰는 것으로 드러났다. 이어 시스템 파일 폴더에 많은 바이러스 파일들을 복제하고, lsass.exe, smss.exe, svchost.exe 등 시스템 파일명으로 바꾼다. 그 뒤 여러 복제본을 실행시키며, 대량의 CPU 시간과 시스템 리소스를 점용함으로써 시스템이 느려지게 만든다고 이 회사는 설명했다. 이밖에 지정 파일을 기타 실행 프로그램에 주입하고, 컴퓨터 부팅과 함께 자동 시작하도록 하며, 파일 속성을 숨김으로 설정한다. 이 ‘Worm.VBcode!1.6521’에 대한 경계 등급은 별 다섯 개 중 네 개로 높은 편이다.

2월 첫째 주부터 셋째 주까지 중국에서 널리 퍼져 PC 사용자를 공격한 대표적인 바이러스들을 일자 별로 보면, 먼저 9일에는 ‘Worm.VBcode!1.6521’이 꼽혔다. 이 회사가 자사 보안 프로그램을 써서 연인원 14만5,182명으로부터 신고를 받았다. 이 바이러스는 지속적으로 활개를 치면서 지난 16일 현재 12만2,960대의 PC를 감염시킨 것으로 확인됐다.

주말 휴일이 포함된 2월 10일~12일 사흘 동안 크게 번진 바이러스는 ‘Trojan.Win32.BHO.hdz’였다. 연인원 16만 7,253명이 신고했다. 이 바이러스는 컴퓨터에 있는 유명 바이러스퇴치 프로그램을 찾아낸 다음 실행 중지를 시도한다. 동시에 PC 레지스트리를 수정해 컴퓨터 부팅과 함께 바이러스 활동을 자동 개시한다. 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 트래픽을 악의적으로 늘리며 대량의 네트워크 리소스를 점용한다. 이 때문에 네트워크 속도가 느려지는 현상이 나타날 수 있다고 이 회사는 설명했다.

‘Trojan.Win32.BHO.hdz’는 지난 13일에도 중국 내 대표적인 바이러스에 꼽혔다. 이 회사는 보안 시스템을 통해 연인원 1만5,784명으로부터 신고를 받았다.

지난 14일에는 트로이목마류 ‘Trojan.Win32.Fednu.uqy’가 널리 퍼져 PC 사용자들을 공격한 것으로 드러났다. 연 2만 4,557명이 신고했다. 이 바이러스도 ‘Trojan.Win32.BHO.hdz’와 비슷한 악성 활동을 하며 피해를 야기하는 것으로 밝혀졌다. 이어 15일 중국에서 크게 번진 대표적인 바이러스는 2월 첫째·둘째 주 대표적인 바이러스로 꼽힌 ‘Worm.Win32.FakeFolder.f’ 였다. 연 5만2,171명이 신고했다.

지난 16일(연 1만8,165명 신고)과 주말 휴일이 들었던 17일~19일(연 3만9,472명 신고)까지 나흘 동안에는 ‘Trojan.Win32.BHO.hdz’ 또 다시 대표적인 바이러스로 지목됐다.

中 보안업체 “2월 첫째·둘째 주 3만 3,899개의 피싱 사이트 탐지”
이 회사는 2월 첫째·둘째 주(1일~12일) 3만 3,899개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 중국 정보보안업계와 누리꾼들의 주목을 많이 받은 피싱 사이트들은 △페이스북(Facebook)을 가장한 http://reported-fb.at.ua/security.html
△중국이동통신(China Mobile)인 것처럼 속인 www.10086ehm.com
△텅쉰(Tencent)의 온라인 게임으로 위장한 www.dnfaaa.com/ △가짜 애플(Apple) ID류 http://nextdir.com/javascripts/overlib/Mini/etcs/Home/ △지메일(Gmail) 전자우편을 가장한 http://deerfieldspa.com/spacebox/ 등이었다.

이 기간 일자별 피싱 사이트 톱5에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 www.secruty-offers.cf/service.support/cgi/websc-login.php, http://charmoduaadarshabiddyanikaton.edu.bd/Slide/engine/ (전자우편 계정과 비밀번호 편취) △Facebook을 위장한 http://xurney.com/fiv/projects/Graphic-Design/ (계정과 비밀번호 훔침) △중국 TV 인기 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://hbrlzygs.com (허위 당첨 정보로 사용자를 속여 송금 유도) △가짜 Apple ID류 http://appie-authorized.com/, http://secure2.store.apple.com-authentication.net/clients/ (계정과 비밀번호 빼냄) △가짜 Gmail 전자우편류 http://bahrani.co/zoro/ayo1/ayo1/ayo1/index.html (계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.95533er.cc/
(카드번호와 비밀번호 훔침) △텅쉰의 온라인 게임을 가장한 www.cf980.com/
(허위 S/W 정보로 계정과 비밀번호 빼냄) △가짜 Gmail전자우편류 http://colae.eu/languages/index.html
등이 지목됐다.

2월 셋째 주 피싱 사이트 2만 844개 탐지...10만 명 공격 받아
중국에서 2월 셋째 주(13일~19일) 2만 844개의 피싱 사이트를 탐지했다고 이 회사는 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 전 주와 비슷한 10만 명에 달했다.

2월 셋째 주 중국 정보보안 업계와 누리꾼들의 주목을 받은 피싱 사이트들은 △온라인 금융결제 사이트 Paypal을 가장한 http://member-active.net/8c5YjY4OGI0YTJjYmE=/ △텅쉰(Tencent)의 온라인게임으로 위장한 http://www.880cf.com/ △중국 TV 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://www.masdeadpr.com/l1479cbo5ea/ △가짜 Apple ID류 http://a2zservicezone.com/154b86f78af65f16304b67d83d6c92e3/login.html △Gmail 전자우편을 가장한 http://www.kloshpro.com/dropbx.z/document.html?ssl=yes 등이었다.

이들 피싱 사이트는 누리꾼의 인터넷 사이트 계정·비밀번호, 인터넷 뱅킹 내 금전을 노렸다. 피싱 사이트의 공격을 받은 중국 누리꾼 수를 일자 별로 보면, 2월 9일 연인원 1만 6,018명, 10일~12일 사흘 동안에는 연인원 5만 2,914명, 13일 연 1만 6,165명, 14일 1만 6,183명, 15일 연 1만 7,300명, 16일 연 2만 1,545명, 주말 휴일이 들었던 17일~19일에는 연 5만 3,239명으로 파악됐다.

이 회사가 탐지한 피싱 웹주소는 2월 9일 5,210개, 주말 휴일이었던 10일~12일 1만 1,490개, 13일 4,360개, 14일 4,564개, 15일 3,739개, 16일 5,898개, 17일~19일 사흘 동안 1만 529개였다.

▲ 2월 13일~19일 중국내 주요 피싱 웹사이트


알리바바·텅쉰·Apple·Gmail·Paypal 사칭 피싱 사이트 활개
2월 셋째 주 일자 별로 중국 누리꾼들을 많이 공격한 피싱 사이트 ‘톱5’에는 △중국 최대 전자상거래 사이트 알리바바(Alibaba)를 가장한 http://sweet-factory.com/alibaba/index.php, http://visitamericavacationhomes.com/alibaba/index.php(계정과 비밀번호 빼냄) △어도비(Adobe) ID로 위장한 http://nbpintl.com/cgi-dhl/adb/11dce428448cd53dfc7b9a0d6306cba1/(전자우편 계정과 비밀번호 노림) △텅쉰(Tencent)로 속인 http://216.172.161.50/cliente/index.php(계정과 비밀번호 훔침) △텅쉰의 온라인게임으로 속인 www.dnfaaa.com/, www.880cf.com/(허위 S/W 정보로 계정과 비밀번호 빼냄) △온라인 금융결제 사이트 Paypal로 위장한 http://movimientociudadanozac.org.mx/paypal.com/login.htm, www.kuldeepyadavworld.com/paypal/login.php?country.x=-&lang.x=en, http://member-active.net/8c5YjY4OGI0YTJjYmE=/(전자우편 계정과 비밀번호 훔침) △Gmail 전자우편을 가장한 www.leadgenerationonline.net/, http://deerfieldspa.com/spacebox/, http://hotelvishalagra.com/business/, www.iaipng.com/bud/GD/, www.kloshpro.com/dropbx.z/document.html?ssl=yes (계정과 비밀번호 절취) △가짜 Facebook류 http://reported-fb.at.ua/security.html(계정과 비밀번호 훔침) △중국이동통신(China Mobile) 고객서비스 대표번호를 가장한 www.10086ehm.com
 (적립 포인트의 현금 교환을 미끼로 카드번호와 비밀번호 빼냄) △가짜 Apple ID류 http://nextdir.com/javascripts/overlib/Mini/etcs/Home/, http://verify.idapple.billsapple.com/, www.globalsolutionmarketing.com/accountSummary.php, http://a2zservicezone.com/154b86f78af65f16304b67d83d6c92e3/login.html(계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.ccxzqq.com/
(카드번호와 비밀번호 편취) △중국 TV 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 www.qemag.it/Fu3Ta3RI6C, www.masdeadpr.com/l1479cbo5ea/
(허위 당첨 정보로 송금 유도) △중국 포털 사이트 왕이(163.com)의 전자우편을 가장한 http://kureselmeanik.com/nw163/
(계정과 비밀번호 훔침) △가짜 온라인 쇼핑류 www.goiphonsou.net
(허위 쇼핑 정보로 금전 편취) 등이 꼽혔다.

이 회사가 보안 시스템을 써서 모니터링하고 누리꾼의 신고를 종합한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 2월 9일 연인원 9만 7,369명, 10일~12일 연 30만 2,421명, 13일 연 9만 6,786명, 14일 연 9만 8,282명, 15일 연 9만 6,532명, 16일 연 9만 9,832명, 주말 휴일이 포함된 17일~19일 연 30만 2,421명으로 집계됐다.

2월 셋째 주 중국 내 트로이목마 투입 웹주소는 지난 9일 1만 1,001개, 10일~12일 8만 2,771개, 13일 9만 4,985개, 14일 10만 435개, 15일 11만 279개, 16일 10만 7,934개, 17일~19일 사흘 동안에는 8만 4,207개였다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



인공지능은 정보보안에 도움을 주게 될까요?
그렇다. 보안 인력 양성보다 인공지능 개발이 더 빠를 것이다.
그렇다. 보안 전문가가 더 ‘사람다운’ 일을 하게 해줄 것이다.
아니다. 기계가 할 수 있는 일은 한정적이다.
아니다. 오탐의 염려에서 벗어나기가 힘들 것으로 보인다.
처음에는 도움을 주는 듯 하지만 점차 사람의 일자리를 위협할 것이다.
나랑은 크게 상관없는 얘기다.
기타(댓글로)