‘Trojan.Win32.BHO.hdz’, 두 달 연속 활개
11월 첫째 주 피싱 사이트 및 피해 누리꾼 수 3배 가량 폭증

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 CPU 시간과 시스템 자원을 대량 점용함으로써 시스템을 느려지게 만드는 ‘Worm.VBcode!1.6521’란 이름의 웜(Worm) 바이러스가 14만5,000여 대의 컴퓨터를 감염시킨 것으로 밝혀졌다. 또한 11월 첫째 주(10월 31일~11월 6일) 중국에서 피싱 사이트 탐지 수량을 비롯해 피싱 사이트의 공격을 받은 누리꾼 수(26만여 명)가 모두 한 주 전에 비해 3배 가량 급증한 것으로 드러났다.

中 ‘Worm.VBcode!1.6521’, 컴퓨터 14만5천여대 감염시켜
중국 정보보안회사인 루이싱정보기술은 보안 시스템을 써서 모니터링하고 PC 사용자들로부터 받은 신고를 종합한 결과, 웜 바이러스인 ‘Worm.VBcode!1.6521’가 11월 2일 현재 중국에서 14만5,182대 의 PC를 감염시킨 것으로 확인됐다고 밝혔다.

이 웜 바이러스는 파일 폴더 아이콘으로 위장해 PC 사용자를 속인다. 사용자가 이 아이콘을 클릭하면, 바이러스는 PC에 설치되고 실행된다. 이어 이 바이러스는 시스템 파일 폴더에 대량의 바이러스 파일을 복제하고, ‘lsass.exe, smss.exe, svchost.exe’와 같은 시스템 파일명으로 개명한다. 그 뒤 더 많은 동종 복사본을 실행시키며, 대량의 CPU 시간과 시스템 자원을 점용하는 것으로 드러났다.

이 바이러스는 특정 파일을 다른 실행 프로그램에 주입하고, 컴퓨터 부팅과 함께 자동으로 활동을 개시하도록 설정하며, 파일 속성을 숨김으로 설정하는 것으로 나타났다. 이 ‘Worm.VBcode!1.6521’에 대한 경계 등급은 별 다섯 개 가운데 네 개다.


바이러스 ‘Trojan.Win32.BHO.hdz’, 中에서 두 달 연속 활개
중국에서 11월 첫째 주 일별로 전국에서 가장 많이 퍼진 바이러스에는 ‘Trojan.Win32.BHO.hdz’가 꼽혔다고 루이싱정보기술은 밝혔다. ‘Trojan.Win32.BHO.hdz’는 10월 31일(2만 9,758명 신고)부터 11월 1일(2만 6,951명 신고), 2일(2만 4,375명 신고), 3일(2만 3,142명 신고), 주말 휴일이 들었던 4일~6일(4만 6,527명 신고)에도 연일 중국에서 크게 번져 PC 사용자들을 공격한 것으로 드러났다. 이로써 이 바이러스는 9월 둘째 주부터 두 달 연속 중국을 휩쓸며 PC 사용자들에게 피해를 입힌 대표적인 바이러스로 지목됐다.

이 ‘Trojan.Win32.BHO.hdz’는 컴퓨터에 깔린 안티바이러스 프로그램을 찾아내어 그 실행을 중지시키는 것으로 드러났다. 또 컴퓨터 레지스트리를 수정해, 부팅과 함께 자동으로 바이러스 활동을 시작하도록 설정한다. 이 바이러스는 백그라운드에서 몰래 PC를 해커가 지정한 웹 주소에 연결시키고, 악성 웹 주소의 트래픽을 늘리며, 대량의 네트워크 자원을 점용하는 것으로 나타났다. 이 때문에 네트워크가 막혀 속도가 느려지는 현상이 일어난다고 이 회사는 밝혔다.

中 11월 첫째 주 피싱 사이트와 피해 누리꾼 수 모두 3배 안팎 급증
중국에서 11월 첫째 주 2만 6,101개의 피싱 사이트를 탐지했다고 이 회사는 밝혔다. 한 주 전에 비해 2만547개 급증했다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수도 전 주보다 6만명 급증한 10만명에 달했다.

이 기간에 대표적으로 중국건설은행을 사칭한 http://95533cjf.cc/tiao.asp, 페이스북(Facebook)을 가장한 http://loginmasketig.mbastudios.info/, 애플(Apple) ID로 위장한 http://gps-supporting.esy.es/, 가짜 지메일(Gmail) 전자우편류 http://www.wilderweb.net/new/GD 따위의 피싱 사이트들이 누리꾼의 인터넷 사이트·전자우편 계정과 비밀번호를 훔치고 금전을 노린 것으로 드러났다.

이 기간 일별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 10월 31일 연인원 1만 299명, 11월 1일 1만 5,995명, 2일 1만 1,884명, 3일 1만 7,048명, 4일~6일 사흘 동안 연 1만 3,391명이었다. 이 회사가 탐지한 피싱 웹주소는 10월 31일 3,711개, 11월 1일 5,859개, 2일 4,981개, 3일 5,850개, 4일~6일 1만 2,301개였다.



지난 11월 첫째 주 일별로 중국에서 널리 퍼져 누리꾼들을 공격한 피싱 사이트 ‘톱5’에는 △가짜 Apple ID류 http://apple.ios-kr.com/, http://gps-supporting.esy.es/, www.oprojects.net/components/com_banners/helpers/ (애플 사이트 계정과 비밀번호 훔침) △중국건설은행을 사칭한 www.ccbtnk.cc/default.asp, www.icbacaf.com/, http://95533cjf.cc/tiao.asp, http://wap.hbcddxa.cc/, http://wap.sjzcbbw.cc/register.asp (카드 번호와 비밀번호 편취) △가짜 어도비(Adobe)류 http://basia-collection.com/viewpdf/, http://awecompactors.ro/thurs/ (메일 계정과 비밀번호 빼냄) △페이스북(Facebook)으로 위장한 http://quehuongtoiyeu.wixsite.com.usrfiles.com/html/, http://loginmasketig.mbastudios.info/ (계정과 비밀번호 훔침) △가짜 야후(Yahoo) 메일류 http://tinyurl.com/hcsbypt/, www.tolmatica.es/modules/domz.html (메일 계정과 비밀번호 빼냄) △가짜 이베이(ebay) http://thecitysisters.us/userverification-info@werkzeug-kaplonski.de.html, http://badillolawyer.com/wp-content/themes/slimwriter/ (메일 계정과 비밀번호 훔침) △온라인 쇼핑으로 속인 www.atsou.net/ (허위 쇼핑 정보로 금전 편취) △온라인 금융결제 사이트 페이팔(Paypal)로 위장한 https://camfrogcloudrooms.com/verf-your-p/login/, https://www.prisa.cl/catalogosPrisa/webapps/login/, http://clickfordevelopers.com/s/service/costumer/information/check/, www.mackmedical.com.br/a2f8c7d6b9/paypal/webapps/mpp/user (계정과 비밀번호 빼냄) △지메일(Gmail) 전자우편으로 위장한 http://lepkova.com/dropbox/page/9c56c53663dd7617e12e72c5a536284b/, www.wilderweb.net/new/GD, http://urockamerica.com/folder/dropbox2016/Home/index.php (메일 계정과 비밀번호 훔침) △중국 최대 온라인 쇼핑몰 타오바오(Taobao)를 가장한 http://taobbbao.com/statichtml/0/461/461240.html (계정과 비밀번호 훔침) 등이 꼽혔다.

한편, 루이싱정보기술이 조사한 결과 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 10월 31일 26만 2,400명, 11월 1일 21만 7,920명, 2일 14만 8,038명, 3일 15만 7,487명, 주말 휴일이 든 4일~6일 17만 6,634명으로 집계됐다. 이 회사는 중국 내 트로이목마 투입 웹 주소가 10월 31일 769개에서 11월 1일 1,362개로 크게 늘었고, 2일 1,071개, 3일 1,288개, 4일~6일 사흘 동안 2,290개였다고 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>