‘Trojan.Win32.BHO.hdz’, 국경절 연휴 포함 5주 연속 활개
中 10월 첫째 주 3만3,000여명 피싱 사이트 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 시스템 파일로 위장하고 정보를 빼내는 바이러스 ‘Malware.FakeFolder@CV!1.6AA9’가 PC 20만 5,200여대를 감염시킨 것으로 확인됐다. 또한, 중국에서 국경절 공식 연휴(10월 1일~7일) 기간인 9월 30일부터 10월 9일까지 열흘 동안, 누리꾼 3만 3,000여명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 ‘Malware.FakeFolder@CV!1.6AA9’, PC 20만5,280대 감염시켜
중국 정보보안회사인 루이싱정보기술은 보안 시스템을 써서 모니터링 하고 PC 사용자들로부터 받은 신고를 종합한 결과, 트로이목마류 바이러스인 ‘Malware.FakeFolder@CV!1.6AA9’가 지난달 20일까지 중국에서 20만 5,280대의 PC를 감염시킨 것으로 확인됐다고 밝혔다.

이 바이러스는 네트워크 호스트(Host) 파일을 수정하고, 자신의 속성을 숨김으로 설정한다고 이 회사는 설명했다. 또 시스템 파일로 위장하고, 컴퓨터 부팅과 함께 자동으로 활동을 개시하도록 설정한다. 백그라운드에서 PC를 해커가 지정한 서버에 연결시키고, 컴퓨터 사용자 정보를 업로드한다. 이 때문에 컴퓨터 사용자는 중요한 정보를 도난당하고 재산의 안전도 위협 받는 상황에 놓이게 된다. 이 백도어에 대한 경계 등급으로는 별 다섯 개 가운데 세 개가 매겨졌다.

이 ‘Malware.FakeFolder@CV!1.6AA9’는 중국에서 9월 26일~10월 2일 한 주 동안 정보보안업체와 누리꾼의 주목을 받은 대표적인 바이러스라고 이 회사는 밝혔다.


‘Trojan.Win32.BHO.hdz’, 국경절 연휴 포함 5주째 기승
중국에서 9월 30일부터 10월 9일가지 전국적으로 널리 퍼져 누리꾼을 공격한 대표적인 바이러스는 ‘Trojan.Win32.BHO.hdz’라고 이 회사는 밝혔다. 9만 8,472명이 신고한 이 트로이목마는 컴퓨터에 깔린 바이러스 퇴치 프로그램을 찾아낸 다음 그 실행을 중지시키는 것으로 밝혀졌다.

또한, 컴퓨터 레지스트리를 수정해서 부팅과 함께 자동으로 바이러스 활동을 개시하게 만든다. 백그라운드에서 몰래 PC를 해커가 지정한 웹주소에 연결시키기도 한다. 이어 악성 웹주소의 트래픽을 늘리고, 대량의 네트워크 자원을 점용한다. 이 때문에 네트워크가 막혀 속도가 느려지는 현상이 일어나게 된다고 이 회사는 설명했다.

특히 ‘Trojan.Win32.BHO.hdz’는 지난 9월 26일(1만 8,345명 신고)부터, 27일(2만 2,108명 신고), 28일(1만 7,234명 신고), 29일(1만 8,974명 신고)에도 각각 중국에서 크게 번져 컴퓨터 사용자들을 공격해 피해를 입힌 대표적인 바이러스로 지목됐다.

이 ‘Trojan.Win32.BHO.hdz’는 9월 둘째 주와 셋째 주에 이어, 19일(1만 8,396명 신고), 20일(1만 9,725명 신고), 21일(1만 8,341명 신고), 22일(1만 7,894명 신고), 23일~25일(3만 1,047명 신고)에도 중국 전역을 휩쓸며 누리꾼들을 공격한 바이러스로 꼽힌 바 있다.

中 국경절 연휴 기간 3만 3,000여명 피싱 사이트 공격 받아
지난 국경절 연휴가 포함된 9월 30일~10월 9일 중국에서 피싱 사이트의 공격을 받은 누리꾼 수는 3만 3,047명에 달했다고 이 회사는 밝혔다. 지난 9월 26일부터 10월 2일까지 한 주 동안에는 4만 명이 피싱 사이트의 공격을 받았다. 이 회사는 이 기간 동안 보안 시스템을 통해 중국에서 3,399개의 피싱 사이트들을 찾아냈다고 덧붙였다.

일별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 9월 26일 3,798명, 27일 3,278명, 28일 3,227명, 29일 3,941명이었다. 이 회사가 탐지한 피싱 웹주소는 9월 30일~10월 9일, 열흘 간 7,186개, 9월 26일 1,119개, 27일 1,075개, 28일 1,019개, 29일 1,093개였다.

이런 가운데 중국에서는 중국건설은행을 사칭한 ‘http://www.ccbjct.cc/’, 금융결제 사이트 페이팔(Paypal) 메일을 가장한 ‘http://wwwyourpaypal-faild.com/Login/’, 중국이동통신(China Mobile)으로 위장한 ‘http://10086ydap.com’ 등 피싱 사이트들이 누리꾼의 메일 계정과 비밀번호를 편취하고 개인 정보와 금전을 노렸다.

중국에서 활개를 치며 누리꾼을 공격한 피싱 사이트 ‘톱5’를 보면, 지난 9월 30일~10월 9일 열흘 동안에는 △페이스북(Facebook)인 것처럼 속인 ‘www.facebook.co.rs/(계정과 비밀번호 훔침)’, △중국건설은행을 사칭한 ‘www.cchfxc.com/(카드 번호와 비밀번호 절취)’, △가짜 애플(Apple) ID류 ‘http://dhe-iappsstore-bin.com/bin-app.html(카드 번호와 비밀번호 빼냄)’, △온라인 금융결제 사이트 페이팔(Paypal) 전자우편을 가장한 ‘http://security-webappsr.com/webapps/6761a/websrc(계정과 비밀번호 훔침)’, △가짜 지메일(Gmail)류 ‘http://dfsaadaadssa.lojavirtualphp.com.br/aos/aos/aos/index.htm(계정과 비밀번호 빼냄)’ 순으로 꼽혔다.


한편, 루이싱정보기술은 보안 시스템을 써서 탐지한 중국 내 트로이목마 투입 웹주소는 9월 30일~10월 9일 열흘 동안 7,712개에 달했고, 9월 26일 1,029개, 27일 1,598개, 28일 978개, 29일 1,119개였다고 밝혔다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 9월 30일~10월 9일 3만 2,918명이었고, 9월 26일 2,974명, 27일 4,554명, 28일 3,030명, 29일 4,260명으로 집계됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>