세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
中, 두 개의 웜 바이러스가 PC 17만 5,000대 감염
  |  입력 : 2017-02-24 10:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘Worm.VBcode!1.6521’ PC 12만여대, ‘Worm.Win32.FakeFolder.f’ 5만여대 감염
2월 첫째 주~셋째 주 피싱 사이트 5만 4,713개 탐지돼


[보안뉴스 온기홍= 중국 베이징] 중국에서 이달 중순 현재 웜(Worm) 바이러스 ‘Worm.VBcode!1.6521’와 ‘Worm.Win32.FakeFolder.f’가 모두 17만 5,000대의 PC를 감염시킨 것으로 드러났다. 중국에서 2월 첫째 주부터 셋째 주(2월 1일~19일)까지 정보보안업체가 탐지한 피싱 웹사이트는 5만 4,713개에 달했고, 누리꾼 연인원 20만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 ‘Worm.Win32.FakeFolder.f’, 5만 2,171대 PC 감염시켜
중국 정보보안업체인 루이싱정보기술은 보안시스템을 써서 모니터링하고 누리꾼들의 신고를 종합한 결과, 웜 바이러스 ‘Worm.Win32.FakeFolder.f’가 지난 2월 10일 현재 중국에서 5만 2,171대의 PC를 감염시킨 것을 확인했다고 밝혔다.

웜 바이러스 ‘Worm.Win32.FakeFolder.f’는 컴퓨터에 깔린 바이러스퇴치 프로그램의 탐지·퇴치를 피하며, 실행 중인 보안 프로그램을 중지시킨다. 또 레지스트리 하이재킹 항목을 만들어 바이러스퇴치 S/W가 활동을 개시하는 것을 막고, 나아가 보안 S/W 아이콘을 삭제한 데 이어 이를 숨긴다고 이 회사는 설명했다.

이 웜 바이러스를 만든 세력은 바이러스가 수동으로 삭제되는 것을 피하기 위해 컴퓨터 OS의 안전모드를 없앤다. 또한, 웜 바이러스는 PC 바탕화면에 여러 피싱 웹사이트의 바로가기를 만들고 PC 사용자가 해커가 지정한 웹사이트에 들어가게 만든다. 이를 통해 금전 편취를 시도한다.

컴퓨터가 웜 바이러스에 감염된 뒤, PC 사용자는 중요한 개인정보를 도난당하고 재산의 안전도 위협받는 문제에 직면하게 된다. 이 웜 바이러스 ‘Worm.Win32.FakeFolder.f’에 대한 경계 등급은 별 다섯 개 가운데 네 개다.

▲ 2월 1일~19일 중국내 주요 PC 바이러스(출처 : 중국 루이싱정보기술)

中 ‘Worm.VBcode!1.6521’, PC 약 13만대 감염
웜 바이러스 ‘Worm.VBcode!1.6521’이 2월 16일 현재 12만 2,960대의 PC를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다. 이 웜 바이러스는 파일 폴더 아이콘을 써서 위장함으로써 PC 사용자가 클릭하도록 유도하는 수법을 쓰는 것으로 드러났다. 이어 시스템 파일 폴더에 많은 바이러스 파일들을 복제하고, lsass.exe, smss.exe, svchost.exe 등 시스템 파일명으로 바꾼다. 그 뒤 여러 복제본을 실행시키며, 대량의 CPU 시간과 시스템 리소스를 점용함으로써 시스템이 느려지게 만든다고 이 회사는 설명했다. 이밖에 지정 파일을 기타 실행 프로그램에 주입하고, 컴퓨터 부팅과 함께 자동 시작하도록 하며, 파일 속성을 숨김으로 설정한다. 이 ‘Worm.VBcode!1.6521’에 대한 경계 등급은 별 다섯 개 중 네 개로 높은 편이다.

2월 첫째 주부터 셋째 주까지 중국에서 널리 퍼져 PC 사용자를 공격한 대표적인 바이러스들을 일자 별로 보면, 먼저 9일에는 ‘Worm.VBcode!1.6521’이 꼽혔다. 이 회사가 자사 보안 프로그램을 써서 연인원 14만5,182명으로부터 신고를 받았다. 이 바이러스는 지속적으로 활개를 치면서 지난 16일 현재 12만2,960대의 PC를 감염시킨 것으로 확인됐다.

주말 휴일이 포함된 2월 10일~12일 사흘 동안 크게 번진 바이러스는 ‘Trojan.Win32.BHO.hdz’였다. 연인원 16만 7,253명이 신고했다. 이 바이러스는 컴퓨터에 있는 유명 바이러스퇴치 프로그램을 찾아낸 다음 실행 중지를 시도한다. 동시에 PC 레지스트리를 수정해 컴퓨터 부팅과 함께 바이러스 활동을 자동 개시한다. 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 트래픽을 악의적으로 늘리며 대량의 네트워크 리소스를 점용한다. 이 때문에 네트워크 속도가 느려지는 현상이 나타날 수 있다고 이 회사는 설명했다.

‘Trojan.Win32.BHO.hdz’는 지난 13일에도 중국 내 대표적인 바이러스에 꼽혔다. 이 회사는 보안 시스템을 통해 연인원 1만5,784명으로부터 신고를 받았다.

지난 14일에는 트로이목마류 ‘Trojan.Win32.Fednu.uqy’가 널리 퍼져 PC 사용자들을 공격한 것으로 드러났다. 연 2만 4,557명이 신고했다. 이 바이러스도 ‘Trojan.Win32.BHO.hdz’와 비슷한 악성 활동을 하며 피해를 야기하는 것으로 밝혀졌다. 이어 15일 중국에서 크게 번진 대표적인 바이러스는 2월 첫째·둘째 주 대표적인 바이러스로 꼽힌 ‘Worm.Win32.FakeFolder.f’ 였다. 연 5만2,171명이 신고했다.

지난 16일(연 1만8,165명 신고)과 주말 휴일이 들었던 17일~19일(연 3만9,472명 신고)까지 나흘 동안에는 ‘Trojan.Win32.BHO.hdz’ 또 다시 대표적인 바이러스로 지목됐다.

中 보안업체 “2월 첫째·둘째 주 3만 3,899개의 피싱 사이트 탐지”
이 회사는 2월 첫째·둘째 주(1일~12일) 3만 3,899개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 중국 정보보안업계와 누리꾼들의 주목을 많이 받은 피싱 사이트들은 △페이스북(Facebook)을 가장한 http://reported-fb.at.ua/security.html
△중국이동통신(China Mobile)인 것처럼 속인 www.10086ehm.com
△텅쉰(Tencent)의 온라인 게임으로 위장한 www.dnfaaa.com/ △가짜 애플(Apple) ID류 http://nextdir.com/javascripts/overlib/Mini/etcs/Home/ △지메일(Gmail) 전자우편을 가장한 http://deerfieldspa.com/spacebox/ 등이었다.

이 기간 일자별 피싱 사이트 톱5에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 www.secruty-offers.cf/service.support/cgi/websc-login.php, http://charmoduaadarshabiddyanikaton.edu.bd/Slide/engine/ (전자우편 계정과 비밀번호 편취) △Facebook을 위장한 http://xurney.com/fiv/projects/Graphic-Design/ (계정과 비밀번호 훔침) △중국 TV 인기 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://hbrlzygs.com (허위 당첨 정보로 사용자를 속여 송금 유도) △가짜 Apple ID류 http://appie-authorized.com/, http://secure2.store.apple.com-authentication.net/clients/ (계정과 비밀번호 빼냄) △가짜 Gmail 전자우편류 http://bahrani.co/zoro/ayo1/ayo1/ayo1/index.html (계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.95533er.cc/
(카드번호와 비밀번호 훔침) △텅쉰의 온라인 게임을 가장한 www.cf980.com/
(허위 S/W 정보로 계정과 비밀번호 빼냄) △가짜 Gmail전자우편류 http://colae.eu/languages/index.html
등이 지목됐다.

2월 셋째 주 피싱 사이트 2만 844개 탐지...10만 명 공격 받아
중국에서 2월 셋째 주(13일~19일) 2만 844개의 피싱 사이트를 탐지했다고 이 회사는 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 전 주와 비슷한 10만 명에 달했다.

2월 셋째 주 중국 정보보안 업계와 누리꾼들의 주목을 받은 피싱 사이트들은 △온라인 금융결제 사이트 Paypal을 가장한 http://member-active.net/8c5YjY4OGI0YTJjYmE=/ △텅쉰(Tencent)의 온라인게임으로 위장한 http://www.880cf.com/ △중국 TV 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://www.masdeadpr.com/l1479cbo5ea/ △가짜 Apple ID류 http://a2zservicezone.com/154b86f78af65f16304b67d83d6c92e3/login.html △Gmail 전자우편을 가장한 http://www.kloshpro.com/dropbx.z/document.html?ssl=yes 등이었다.

이들 피싱 사이트는 누리꾼의 인터넷 사이트 계정·비밀번호, 인터넷 뱅킹 내 금전을 노렸다. 피싱 사이트의 공격을 받은 중국 누리꾼 수를 일자 별로 보면, 2월 9일 연인원 1만 6,018명, 10일~12일 사흘 동안에는 연인원 5만 2,914명, 13일 연 1만 6,165명, 14일 1만 6,183명, 15일 연 1만 7,300명, 16일 연 2만 1,545명, 주말 휴일이 들었던 17일~19일에는 연 5만 3,239명으로 파악됐다.

이 회사가 탐지한 피싱 웹주소는 2월 9일 5,210개, 주말 휴일이었던 10일~12일 1만 1,490개, 13일 4,360개, 14일 4,564개, 15일 3,739개, 16일 5,898개, 17일~19일 사흘 동안 1만 529개였다.

▲ 2월 13일~19일 중국내 주요 피싱 웹사이트


알리바바·텅쉰·Apple·Gmail·Paypal 사칭 피싱 사이트 활개
2월 셋째 주 일자 별로 중국 누리꾼들을 많이 공격한 피싱 사이트 ‘톱5’에는 △중국 최대 전자상거래 사이트 알리바바(Alibaba)를 가장한 http://sweet-factory.com/alibaba/index.php, http://visitamericavacationhomes.com/alibaba/index.php(계정과 비밀번호 빼냄) △어도비(Adobe) ID로 위장한 http://nbpintl.com/cgi-dhl/adb/11dce428448cd53dfc7b9a0d6306cba1/(전자우편 계정과 비밀번호 노림) △텅쉰(Tencent)로 속인 http://216.172.161.50/cliente/index.php(계정과 비밀번호 훔침) △텅쉰의 온라인게임으로 속인 www.dnfaaa.com/, www.880cf.com/(허위 S/W 정보로 계정과 비밀번호 빼냄) △온라인 금융결제 사이트 Paypal로 위장한 http://movimientociudadanozac.org.mx/paypal.com/login.htm, www.kuldeepyadavworld.com/paypal/login.php?country.x=-&lang.x=en, http://member-active.net/8c5YjY4OGI0YTJjYmE=/(전자우편 계정과 비밀번호 훔침) △Gmail 전자우편을 가장한 www.leadgenerationonline.net/, http://deerfieldspa.com/spacebox/, http://hotelvishalagra.com/business/, www.iaipng.com/bud/GD/, www.kloshpro.com/dropbx.z/document.html?ssl=yes (계정과 비밀번호 절취) △가짜 Facebook류 http://reported-fb.at.ua/security.html(계정과 비밀번호 훔침) △중국이동통신(China Mobile) 고객서비스 대표번호를 가장한 www.10086ehm.com
 (적립 포인트의 현금 교환을 미끼로 카드번호와 비밀번호 빼냄) △가짜 Apple ID류 http://nextdir.com/javascripts/overlib/Mini/etcs/Home/, http://verify.idapple.billsapple.com/, www.globalsolutionmarketing.com/accountSummary.php, http://a2zservicezone.com/154b86f78af65f16304b67d83d6c92e3/login.html(계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.ccxzqq.com/
(카드번호와 비밀번호 편취) △중국 TV 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 www.qemag.it/Fu3Ta3RI6C, www.masdeadpr.com/l1479cbo5ea/
(허위 당첨 정보로 송금 유도) △중국 포털 사이트 왕이(163.com)의 전자우편을 가장한 http://kureselmeanik.com/nw163/
(계정과 비밀번호 훔침) △가짜 온라인 쇼핑류 www.goiphonsou.net
(허위 쇼핑 정보로 금전 편취) 등이 꼽혔다.

이 회사가 보안 시스템을 써서 모니터링하고 누리꾼의 신고를 종합한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 2월 9일 연인원 9만 7,369명, 10일~12일 연 30만 2,421명, 13일 연 9만 6,786명, 14일 연 9만 8,282명, 15일 연 9만 6,532명, 16일 연 9만 9,832명, 주말 휴일이 포함된 17일~19일 연 30만 2,421명으로 집계됐다.

2월 셋째 주 중국 내 트로이목마 투입 웹주소는 지난 9일 1만 1,001개, 10일~12일 8만 2,771개, 13일 9만 4,985개, 14일 10만 435개, 15일 11만 279개, 16일 10만 7,934개, 17일~19일 사흘 동안에는 8만 4,207개였다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)