中 10월 둘째 주 5,700여개 피싱 사이트 탐지...4만 명 공격 받아
‘Trojan.Win32.BHO.hdz’, 6주 연속 활개

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 PC 내 정보와 인터넷뱅킹 계정과 비밀번호 등을 훔치는 ‘Generic’란 이름의 트로이목마가 172만대 가량의 컴퓨터를 감염시킨 것으로 확인됐다.

지난 10월 둘째 주(10~16일) 중국에서 5,700여개의 피싱 사이트가 탐지되고, 4만 명의 누리꾼이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 ‘Trojan.Win32.Generic.12EB8C1E’, 컴퓨터 172만대 감염시켜
중국 정보보안회사인 루이싱정보기술은 보안 시스템을 써서 모니터링 하고 PC 사용자들로부터 받은 신고를 종합한 결과, 트로이목마류 바이러스인 ‘Trojan.Win32.Generic.12EB8C1E’가 지난 13일 현재 중국에서 171만 9,151대의 PC를 감염시킨 것으로 확인됐다고 밝혔다.


이 바이러스는 시스템 파일 폴더에 자기를 복제하고, 일단 서비스가 개시되면 악성 DLL를 투입한다고 이 회사는 설명했다. 이 DLL이 추가된 뒤, 이 바이러스는 CMD를 개시해 스스로 삭제를 진행한다. 컴퓨터가 이 바이러스에 감염되면 중요한 정보가 유출되고, 사용자의 인터넷 뱅킹 계정과 비밀번호가 도난당하는 위험에 놓이게 된다. 이 바이러스에 대한 경계 등급으로는 별 다섯 개 가운데 네 개가 매겨졌다.

中 6주 째 ‘Trojan.Win32.BHO.hdz’ 활개
중국에서 10월 둘째 주 전국적으로 크게 번져 누리꾼을 공격한 대표적인 바이러스는 ‘Trojan.Win32.BHO.hdz’라고 루이싱정보기술은 밝혔다. 이 바이러스는 컴퓨터에 설치된 안티바이러스 프로그램을 찾아내고 그 실행을 중지시킨다. 동시에 컴퓨터 레지스트리를 수정해서 부팅과 함께 자동으로 바이러스 활동을 시작하게 만든다. 또한, 백그라운드에서 몰래 PC를 해커가 지정한 웹 주소에 연결시킨다. 이어 악성 웹 주소의 트래픽을 늘리고, 대량의 네트워크 자원을 점용한다. 이 때문에 네트워크가 막혀 속도가 느려지는 현상이 일어난다고 이 회사는 설명했다.

‘Trojan.Win32.BHO.hdz’는 10월 10일(연 1만 6,328명 신고)부터 11일(연 2만 2,097명 신고), 12일(연 1만 7,968명 신고), 13일(연 1만 5,438명 신고), 주말 휴일이 들었던 14일~16일(연 3만 9,472명 신고)까지 연일 중국에서 크게 번져 컴퓨터 사용자들에게 피해를 입힌 대표적인 바이러스로 지목됐다. 특히 ‘Trojan.Win32.BHO.hdz’는 9월 둘째 주부터 국경절 연휴 기간이 포함된 10월 첫째 주에 이어 둘째 주에도 줄곧 중국 전역을 휩쓸며 누리꾼들을 공격한 대표적인 바이러스로 꼽혔다.

中 10월 둘째 주 5,700여개 피싱 사이트 탐지...4만 명 공격 받아
중국에서 10월 둘째 주 5,705개의 피싱 사이트를 탐지했다고 이 회사는 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명에 달했다. 이 기간 중국에서는 인터넷 사이트 ‘126’의 전자우편을 가장한 ‘http://ilariacafiero.com/includes/dropbox/’, 중국건설은행을 사칭한 ‘http://wap.ccsvb.cc/’, 온라인 금융결제 사이트 페이팔(Paypal)로 위장한 ‘http://www.svitab.com/pai/’ 등의 피싱 사이트들이 누리꾼의 메일 계정과 비밀번호를 편취하고 개인 정보와 금전을 노린 것으로 드러났다.

일별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 10월 10일 연인원 1,255명, 11일 5,655명, 12일 5,134명, 13일 2,445명, 주말 휴일인 14일~15일 엔 1만 2,286명이었다. 이 회사가 탐지한 피싱 웹주소는 10일 1,255개, 11일 1,410개, 12일 1,363개, 13일 883개, 14일~16일 1,226개였다.


지난 10월 둘째 주 일별로 중국에서 맹위를 떨친 피싱 사이트 ‘톱5’에는 △중국건설은행을 사칭한 http://wap.ccsbr.cc/, http://wap.sgcbbws.cc/, http://wap.ccsvb.cc/, http://wap.icbccip.com/index.jsp, http://wap.ccbxus.cc/(카드 번호와 비밀번호 편취) △중국 유명 인터넷 포털 왕이(163.com)인 것처럼 속인 http://olerestauranteria.mx/dropbox/ (계정과 비밀번호 훔침) △가짜 애플(Apple) ID www.apple.com.appleid.confirm.account.crickids.com:8081/iTunes/, https://appleid-inc.accountssite.com/clients/index.php, http://apple.findmyiphone.id245.com/, www.thecashcowformula.net/sure/review/ (카드 번호와 비밀번호 빼냄) △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://newama.bounceme.net/en/login.php, http://robinvest.com.br/billing/paypal/myaccount/signin/?country.x=RO, www.svitab.com/pai/, www.jobhelpcentre.co.in/awad/login-update/, http://juliobiendicho.com/cda/mail/paypal/(계정과 비밀번호 훔침) △허위 야후(Yahoo) 전자우편류 www.newlifebiblechurch.org/plugins/(계정과 비밀번호 빼냄) △텅쉰(Tencent) 온라인게임을 가장한 www.csbhsq.com/, http://cniate.com/(허위 S/W 정보로 계정과 비밀번호 빼냄) △지메일(Gmail) 전자우편류 http://limoservicenearmeinc.com/wp-content/languages/, http://theentertaineme.com/cgi/GDriveE/GDrive/, www.betterbirthfoundation.com/images/Arch/, http://swanconsulting.com/diana/(계정과 비밀번호 빼냄) △가짜 126 메일류 http://ilariacafiero.com/includes/dropbox/(계정과 비밀번호 빼냄) △어도비(Adobe)를 가장한 www.geocrestenergy.com/rrts_cancel.htm(계정과 비밀번호 훔침) △중국이동통신(China Mobile)으로 위장한 http://10086kpi.com/(적립 포인트의 현금교환을 미끼로 카드 번호와 비밀번호 훔침) 등이 꼽혔다.

한편, 루이싱정보기술은 보안 시스템을 써서 탐지한 중국 내 트로이목마 투입 웹주소는 10월 10일 1,119개, 11일 1,296개, 12일 977개, 13일 682개, 14일~16일 사흘 간 1,952개였다고 밝혔다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 10일 연인원 903명, 11일 연 6,116명, 12일 연 3,093명, 13일 연 3,650명, 14일~16일 연 8,984명으로 파악됐다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>