‘Trojan.Win32.BHO.gdz’, 2주 연속 활개
지난 주 中 보안업체 피싱 사이트 1만1,575개 탐지...4만명 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 내 브라우저를 제어한 뒤 많은 악성 스크립트를 내려 받으며 시스템 성능을 떨어뜨리고 개인정보를 훔치는 ‘Unpacker’라는 이름의 트로이목마류 바이러스가 약 5만8,000대의 PC를 감염시킨 것으로 드러났다. 또한, 지난 주(7월 18일~24일) 중국에서 정보보안업체가 찾아낸 피싱 사이트는 1만1,575개에 달했으며, 4만명이 피싱 사이트의 공격을 받은 것으로 나타났다.

中 지난 주 ‘Packer.Win32.Unpacker.b’, PC 약 5만8,000여대 감염시켜
중국 정보보안회사인 루이싱정보기술은 지난 주 보안 시스템을 써서 모니터링 하고 PC 사용자들로부터 받은 신고 내용을 종합한 결과, 이 기간 정보보안 업계와 누리꾼들의 주목을 많이 받은 바이러스는 ‘Packer.Win32.Unpacker.b’라고 밝혔다.

이 바이러스는 레지스트리 키(key)를 수정해 브라우저를 제어하는 수법을 쓰며, 지정된 IP주소 ‘115.236.22.240’를 방문해 데이터 구성 파일을 임시(Temporary) 디렉터리에 내려 받는다. 이어 구성 파일에 접근해 멀티스레딩(multithreading)을 활성화하고 많은 악성 ‘js’ 스크립트 및 ‘JS’ 코드를 가진 ‘html, php’ 등 파일을 인터넷 익스플로러 임시 디렉터리에 내려 받는다.


이를 통해 이 바이러스는 컴퓨터 사용자가 브라우저를 스스로 통제할 수 없게 만들며, 악성 스크립트를 내려 받아 시스템 성능을 떨어뜨린다. 나아가 바이러스 감염 이후, 컴퓨터 내 정보들이 도난당하고 사용자의 재산 안전도 위협 받게 된다. 이 바이러스에 대한 경계 등급은 별 다섯 개 가운데 네 개다. 특히, 이 ‘Packer.Win32.Unpacker.b’는 지난 15일 현재 중국에서 5만7,800대의 컴퓨터를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다.

18일 중국에서 널리 퍼진 대표적인 컴퓨터 바이러스는 ‘Trojan.Win32.VBCode.fio’였다. 루이싱이 ‘클라우드 보안’ 시스템을 통해 연인원 2만7,748명으로부터 신고를 받았다. 이 바이러스는 PC에서 유명 백신 프로그램을 찾아내어 그 실행을 중지시킨다. 또 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 바이러스 활동을 개시한다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 웹주소의 트래픽을 소모시키며, 대량의 네트워크 자원을 점용한다. 이로써 네트워크가 막히는 현상이 일어날 수 있다고 이 회사는 밝혔다.

이어 19일에는 ‘Trojan.Win32.VBCode.fio’(연 2만7,223명 신고)가 18일에 이어 이틀 연속 중국을 휩쓴 대표적인 바이러스에 꼽혔다. 20일에는 ‘Trojan.Win32.Fednu.rr’(연 2만2,352명 신고), 21일 ‘Trojan.Win32.BHO.gdz(연 2만5,518명 신고), 주말 휴일이 든 22일~24일에는 ‘Worm.Script.VBS.Agent.co’(연 8만8,721명 신고)가 각각 중국에서 크게 활개를 쳤으며, ‘Trojan.Win32.VBCode.fio’와 비슷한 특징을 가지고 피해를 일으키는 것으로 드러났다. 이 가운데 ‘Trojan.Win32.BHO.gdz’는 지난 13일에 이어 2주 연속 중국에서 널리 퍼져 PC 사용자들을 공격했다.

中 지난 주 피싱 사이트 1만1,575여개 탐지...4만명 공격 받아
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국에서 1만1,575개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전에 비해 2,740여개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 비슷한 4만명에 달했다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 7월 18일에는 연인원 4,132명, 19일 4,744명, 20일에는 3,691명, 21일 5,167명, 주말 휴일이 들었던 22일~24일 사흘 동안 연인원 1만2,294명에 달했다. 루이싱정보기술이 탐지한 피싱 웹주소는 18일 1,157개, 12일 1,157개, 20일 979개, 21일 1,833개, 22일~24일 사흘 간 2,988개로 크게 늘었다.

이런 가운데 지난 주 중국에서는 지메일(Gmail) 전자우편함을 가장한 http://migarantia.com.py/kkkkl/googledrivee/nD/, 온라인 구매(쇼핑) 사이트로 위장한 http://pingguo6.s.a020.net/, 어도비(Adobe) ID 메일로 속인 http://recipewall.net/wp-includes/js/tinymce/utils/ 등 피싱 사이트들이 누리꾼들의 전자우편 계정과 비밀번호 등을 훔치고, 개인정보와 금전을 편취하려 했다.


날짜 별로 중국에서 많은 누리꾼을 공격한 피싱 사이트 ‘톱5’를 보면, 먼저 18일에는 △페이팔(Paypal) 전자우편인 것처럼 속인 http://adesivosdeparedebr.com.br/login/ (계정과 비밀번호 훔침) △Adobe메일로 위장한 http://awuziestmatthew.org/santino-adb-tr-lk-updt0-24-6-16/ (계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.auhcbc.cc/ (카드 번호와 비밀번호 편취) △텅쉰(Tencent)의 온라인게임으로 속인 www.dnf4s.com/ (허위 S/W 정보로 계정과 비밀번호 빼냄) △지메일(Gmail) 전자우편을 가장한 www.floorworksandplus.com/cdf-ltd/ (계정과 비밀번호 훔침) 순으로 꼽혔다.

이어 19일 중국 누리꾼들을 많이 공격한 피싱 사이트들은 △이베이(ebay)로 위장한 http://signin.ebay.co.uk.canadianviols.ca/ws/ (이동전화 번호와 비밀번호 훔침) △가짜 Paypal전자우편류 www.dmitrov-okna.su/profiles/ △중국건설은행을 사칭한 www.ccbtc.cc/ △허위 Apple ID류 http://myicloudlocated.com/ (계정과 비밀번호 훔침) △Gmail전자우편으로 위장한 www.guidoneira.cl/fhhgfssf/yttmfnb/yttmfnb/ 등 차례였다.

지난 20일에는 △가짜 Paypal전자우편류 http://550721-de-prob-angabe-konto_identity.sicher-sicher.cf/ △중국건설은행을 사칭한 http://wap.ccbsat.cc/ △온라인 쇼핑 사이트인 것으로 속인 http://ipwap168.com/ △가짜 어도비(Adobe)류 http://derem.kevingravelyfoundation.com/Adobe/ △Gmail전자우편을 가장한 www.ubbiali.it/Tech-LLC/index.php 순으로 누리꾼들을 많이 공격했다.

또한 21일에는 △가짜 Paypal전자우편류 http://550721-de-prob-angabe-konto_identity.sicher-sicher.cf/ △중국건설은행을 사칭한 http://wap.ccbsat.cc/ △허위 온라인 쇼핑류 http://ipwap168.com/ △가짜 Adobe류 http://derem.kevingravelyfoundation.com/Adobe/ △Gmail전자우편으로 위장한 www.ubbiali.it/Tech-LLC/index.php 등 차례로 누리꾼들을 속인 피싱 사이트 톱5에 들었다.

주말 휴일이 든 22일~24일 사흘 동안 피싱 사이트 톱5는 △가짜 Paypal전자우편류 www.cefix.com.tr/paypal-verify/secverifypaypal/ △중국건설은행을 사칭한 http://ccbevis.com/ △허위 Apple ID류 www.hgkldjh.com/Appe/confirm.html △Adobe를 가장한 www.sydneyin.com.au/wp-content/themes/ △Gmail전자우편인 것처럼 속인 http://oforty.com/css/dropbox/dropbox/ 순으로 나타났다.

한편, 루이싱정보기술이 보안 시스템을 써서 탐지한 중국 내 트로이목마 투입 웹주소는 7월 18일 2,337, 19일 2,337개, 20일 1,705개, 21일 1,290개, 주말 휴일이 든 22일~24일 2,993개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 18일 연인원 4,088명, 19일 연 4,743명, 20일 연 3,278명, 21일 연 2,923명, 22일~24일 사흘 간 연 1만923명에 달했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>