‘Trojan.Win32.BHO.gdz’, 3주 연속 기승
9월 첫째 주 피싱 사이트 8,700여 개 탐지...누리꾼 4만명 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 내 레지스트리를 수정하고 중요한 정보들을 훔치는 ‘DownLoad’란 트로이목마가 10만대 안팎의 PC를 감염시킨 것으로 드러났다. 또한 지난 9월 첫째 주(8월 29일~9월 4일) 피싱 사이트 8,700여개가 정보보안업체에 탐지되고, 누리꾼 연인원 4만명이 피싱 사이트의 공격을 받은 것으로 나타났다.

中 ‘Trojan.DL.Win32.DownLoad.ju’, PC 약 10만대 감염
중국 정보보안회사인 루이싱정보기술은 보안 시스템을 써서 모니터링 하고 PC 사용자들로부터 받은 신고 내용을 종합한 결과, 지난 8월 29일~9월 4일 한 주 동안 중국에서 많은 피해를 일으킨 대표적인 바이러스는 ‘Trojan.DL.Win32.DownLoad.ju’ 라고 밝혔다.

이 바이러스는 시스템 핵심 위치에 많은 악성 SW를 투입하거나 오리지널 시스템 파일을 제어하게 됨으로써 PC에 악성 SW를 더 내려 받는다. 또 시스템 파일 이름으로 명명해 PC 사용자를 속이며, 속성을 숨김으로 바꾸고 서비스가 자동으로 개시되도록 설정한다. 이어 사용자의 주도적인 다운로드와 온라인 메신저 ‘QQ’를 틈타 많은 악성 SW들을 집어 넣는다.


컴퓨터가 이 바이러스에 감염되면, 정보들을 도난 당하고 금전의 안전도 위협 받게 된다. 이 바이러스에 대한 경계 등급으로 별 다섯 개 가운데 네 개가 매겨졌다. 특히, 이 ‘Trojan.DL.Win32.DownLoad.ju’는 중국에서 지난달 26일까지 9만4,223대의 PC를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다.

이 기간 중국을 휩쓴 대표적인 컴퓨터 바이러스들을 날짜 별로 살펴보면, 먼저 8월 29일에는 ‘Worm.Win32.Gamarue.z’가 꼽혔다. 연인원 2만3,112명이 신고한 이 웜 바이러스는 PC에 설치된 안티바이러스 프로그램들을 찾아내어 그 실행을 중지시키는 것으로 나타났다. 또 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 바이러스 활동을 시작한다.

이어 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 웹주소의 트래픽을 늘린다. 이로써 네트워크 자원을 대량 점용하고, 네트워크 속도가 느려지는 현상이 나타날 수 있다고 이 회사는 밝혔다.

이어 30일 중국에서 널리 퍼져 PC를 공격한 대표적인 바이러스는 ‘Worm.Win32.Gamarue.k’가 지목됐다. 연 2만5,547명이 신고했다. 이 웜 바이러스도 ‘Worm.Win32.Gamarue.z’와 같은 특징을 가지고 피해를 일으킨다.

지난달 마지막 날인 31일과 9월 첫째 날인 1일에는 ‘Trojan.Win32.BHO.gdz’가 이틀 연속 중국을 휩쓴 것으로 나타났다. 각각 연인원 2만3,3,49명, 2만1,018명이 신고했다. 주말 휴일이 든 2일~4일 사흘 동안에는 ‘Trojan.PSW.Win32.QQPass.fk┖이 크게 번져 PC 사용자들을 공격한 대표적인 바이러스로 지목됐다. 특히, 이 가운데 ‘Trojan.Win32.BHO.gdz’는 지난 달 10일과 16일, 22일~23일에도 중국에서 널리 퍼져 PC 사용자들을 공격한 바이러스로 꼽혔었다.

中 9월 첫째 주 피싱 사이트 8,742개 탐지..4만명 공격 받아
루이싱은 지난 8월 29일~9월 4일 한 주간 보안 시스템을 써서 중국에서 8,742개의 피싱 사이트들을 찾아냈다고 밝혔다. 한 주 전에 비해 1,679개 감소했다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만명으로 한 주 전과 비슷했다.

이 기간 텅쉰(Tencent)의 온라인게임으로 가장한 http://fz137.com/, 애플 아이클라우드(Apple iCloud) 전자우편함으로 위장한 http://ied-china.com/?u=4&atimes=1461804732167, 지메일(Gmail) 전자우편함으로 속인 http://idwcadcam.com.au/wp-includes/images/smilies 따위의 피싱 사이트들이 중국 PC 사용자를 속여 전자우편 계정과 비밀번호를 훔친 것으로 드러났다. 이 때문에 PC 사용자들은 개인 정보와 금전을 도난 당할 수 있는 위기에 놓였다.

피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 8월 29일에는 연인원 3,734명, 30일 3,365명, 31일 2,823명, 9월 1일에는 3,383명, 주말 휴일이 든 2일~4일 사흘 동안 연인원 9,509명에 달했다. 이 회사가 탐지한 피싱 웹주소는 8월 29일 1,496개, 30일 1,346개, 31일에는 918개로 줄었고, 9월 1일 961개, 2일~4일 사흘 간 1,981개를 각각 기록했다.

이 기간 중국에서 많은 누리꾼을 공격한 피싱 사이트 ‘톱5’를 보면, 8월 29일에는 △중국 최대 통신서비스업체인 중국이동통신(China Mobile)의 고객 서비스 대표 전화번호를 내세운 http://l0086fit.com/(적립포인트의 현금 교환 정보로 사용자 카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.sjzcbbga.cc/ (카드 번호와 비밀번호 빼냄) △가짜 애플(Apple) ID류 www.planetboots.com/js/vend/security/update/Login.php (계정과 비밀번호 노림) △온라인 금융결제 사이트인 페이팔(Paypal)로 속인 http://pop-onlines.com/user/index.php (계정과 비밀번호 훔침) △지메일(Gmail) 전자우편함을 가장한 http://beliving.com.br/file/wr/cd/ (계정과 비밀번호 빼냄) 순으로 꼽혔다.


이어 30일 대표적인 피싱 사이트 톱5는 △중국판 TV 오락 프로그램 ‘런닝맨’인 ‘달리자 형제’ 주관 당첨사이트로 속인 http://tmkq6.cc/ (허위 당첨 정보로 금전 편취) △중국건설은행을 사칭한 http://wap.sjzcbbw.cc/register.asp △허위 어도비(Adobe) ID류 http://chingfordpainter.co.uk/ (계정과 비밀번호 훔침) △가짜 페이팔(Paypal)류 http://paypal.kunden00x290816xkonten-verifikations.com/ △Gmail전자우편으로 속인 http://suzanaguimaraes.com.br/docc/wr/cd/index.php 등 차례였다.

지난달 31일에는 △텅쉰 사이트를 가장한 http://amyps.com/index_f.asp (허위 사이트로 계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.ccubw.com/zm.jsp?id=1 (카드 번호와 비밀번호 빼냄) △중국 최대 전자상거래 회사인 알리바바(Alibaba)로 위장한 www.diamonddynastyvirginhair2.com/Ali/login.jsp.htm (계정과 비밀번호 훔침) △가짜 Apple ID류 www.internetappsonline-app.gotdns.org/ △허위 Gmail전자우편함 http://kaos-fitness.com/images/new/ 순으로 피싱 사이트 톱5 안에 들었다.

9월 들어 첫째 날인 1일 대표적인 피싱 사이트들은 △중국이동통신을 가장한 http://10086cnx.net/ △중국건설은행을 사칭한 http://118.193.196.119/ △가짜 Apple ID류 http://infoserveronline-app.gotdns.org/secureadmin-appserver-ios/ △허위 Paypal류 http://comcosa.co.za/wp/wp-content/uploads/2015/02/login △야후(Yahoo) 전자우편으로 위장한 http://thewhitepeaks.com/wp-content/upgrade/vim/yteam.html (계정과 비밀번호 훔침) 등이었다.

주말 휴일이 낀 지난 2일~4일에는 △가짜 텅쉰 사이트http://ybdtp.com/index_f.asp △중국건설은행을 사칭한 http://ccbtjs.cc/default.asp △허위 Apple ID류 http://ns4.no/Apl/f98e0d98e9d84e646db1617c95e83769/ △가짜 Adobe류 www.rpmconsultingltd.org/FSA/adbb/ad/index.html △Gmail전자우편으로 위장한 http://cruholdings.com/SMG/ayo1/ayo1/index.html 등 차례로 피싱 사이트 톱5에 꼽혔다.

루이싱정보기술이 보안 시스템을 써서 탐지한 중국 내 트로이목마 투입 웹주소는 8월 29일 901개, 30일 1,544개, 31일 1,378개, 9월 1일 1,284개, 주말 휴일이 든 2일~4일 2,859개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 29일 연인원 2,516명, 30일 연 4,112명, 31일 연 3,705명, 9월 1일 연 3,444명, 2일~4일 사흘 간 연 8,376명에 달했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>