‘Trojan.Win32.BHO.hdz’, 두 달 넘게 누리꾼 공격
11월 둘째 주 피싱 사이트 2만5,600여개 탐지...10만명 피해

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 시스템 키 디렉터리에 자신을 복제하고, 바이러스 안에 SMTP 서버를 만들며, 대량의 메시지 발송 웹주소를 위조해 정보를 빼내는 ‘Worm.Netsky!1.A4B9’란 이름의 웜(Worm) 바이러스가 18만여 대의 컴퓨터를 감염시킨 것으로 밝혀졌다.

지난 11월 둘째 주(7일~13일) 중국에서 피싱 사이트 2만 5,600여 개가 탐지됐고, 피싱 사이트의 공격을 받은 누리꾼 수는 10만 명에 달한 것으로 드러났다.

中 ‘Worm.Netsky!1.A4B9’, 컴퓨터 18만600여대 감염시켜
중국 정보보안회사인 루이싱정보기술은 보안 시스템을 통해 모니터링 하고 PC 사용자들로부터 받은 신고를 종합한 결과, 웜 바이러스인 ‘Worm.Netsky!1.A4B9’가 11월 9일 중국에서 18만 688대의 PC를 감염시킨 것으로 확인됐다고 밝혔다.

이 웜 바이러스는 스레드(Thread)를 만들고 컴퓨터 디스크 안의 유관 파일을 검색하며, 여기에서 전자우편 주소를 찾아내어 바이러스가 담긴 전자우편을 발송한다고 이 회사는 밝혔다. 이 바이러스는 또 시스템 공유 디렉터리 아래 자신을 복사하고, PC 사용자의 다운로드, 전자우편, 공유 디렉터리 등 경로를 빌어 대량의 악성 SW를 PC에 투입한다.

이 때문에 PC 사용자는 개인정보 도난과 함께 금전 안전 위협 등 문제에 직면하게 된다. 이 ‘Worm.Netsky!1.A4B9’에 대한 경계 등급으로는 별 다섯 개 가운데 다섯 개가 매겨졌다.


바이러스 ‘Trojan.Win32.BHO.hdz’, 두 달 넘게 활개
지난 11월 둘째 주 일별로 중국 전역에서 가장 많이 퍼져 누리꾼을 공격한 바이러스에는 ‘Trojan.Win32.BHO.hdz’가 꼽혔다고 이 회사는 밝혔다. Trojan.Win32.BHO.hdz는 11월 7일(2만 1,964명 신고)부터 8일(1만 9,867명 신고), 9일(1만 8,647명 신고), 10일(1만 8,042명 신고), 주말 휴일이었던 11일~13일(2만 6,738명 신고)까지 연일 널리 퍼져 누리꾼들을 공격했다. 특히, 이 바이러스는 9월 둘째 주부터 두 달 넘게 중국 PC 사용자들에게 피해를 입히고 있는 대표적인 바이러스로 지목됐다.

Trojan.Win32.BHO.hdz는 PC에 설치된 안티바이러스 프로그램을 찾아내어 그 실행을 중지시킨다. 동시에 PC 내 레지스트리를 수정해 부팅과 함께 자동으로 바이러스 활동을 시작하게 만든다. 또한, 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시킨 다음, 악성 웹 주소의 트래픽을 늘리고, 네트워크 자원을 대량 점용하는 것으로 드러났다. 이 때문에 네트워크 속도가 느려지게 된다.

中 11월 둘째 주, 피싱 사이트 2만 5,600여개 탐지...10만 명 피해
중국에서 11월 둘째 주 2만 5,634개의 피싱 사이트를 탐지했다고 이 회사는 밝혔다. 한 주 전에 비해 467개 줄었다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 달했다.

이 기간에 대표적으로 중국건설은행을 사칭한 http://wap.sjzcbbw.cc/register.asp, 중국 최대 온라인 쇼핑사이트인 타오바오(Taobao)를 가장한 http://taobbbao.com/statichtml/0/461/461240.html, 야후(Yahoo) 전자우편으로 위장한 http://www.tolmatica.es/modules/domz.html 따위의 피싱 사이트들이 누리꾼의 인터넷사이트·전자우편 계정과 비밀번호를 훔치고 금전을 노린 것으로 나타났다.

이 기간 일별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 11월 7일 1만 3,366명, 8일 1만 6,597명, 9일 1만 4,735명, 10일 2만 849명, 11일~13일 사흘 동안 4만 7,262명이었다. 이 회사가 탐지한 피싱 웹주소는 7일 3,783개, 8일 5,340개, 9일 4,822개, 10일 6,128개, 4일~6일 1만 2,086개였다.


지난 11월 둘째 주 일별로 중국에서 널리 퍼져 누리꾼들을 공격한 피싱 사이트 ‘톱5’에는 △중국 최대 전자상거래 회사인 알리바바(Alibaba)를 가장한 www.egyglove.com/css/Aliba/, http://jasmin.pl/js/login.jsp.htm (계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.ccdcb.cc/, http://ccitbx.com/register.asp, http://wap.ccrbl.cc/, http://wap.ccbcb.cc/, http://wap.gzcddwg.cc/ (카드 번호와 비밀번호 편취) △온라인 금융결제 사이트 페이팔(Paypal)로 속인 https://info-paymentupdated.com, www.abproperty.org/service.account-limited.paypal.com-signin/, http://173.222.185.107/, http://104.86.113.195/, www.access-lp.biz/PayPal/ (계정과 비밀번호 훔침) △중국이동통신(China Mobile) 고객 서비스 번호를 미끼로 한 http://10086kpi.com/, http://l0086ksn.com/ (적립포인트의 현금교환을 미끼로 카드 번호와 비밀번호 빼냄) △가짜 지메일(Gmail) 전자우편류 http://halkalisporsalonu.com/wp-content/sess/, http://smsspace.com.ng/document/index.php, www.printdotkomm.sg/wp-share/prospectz/ (계정과 비밀번호 훔침) △온라인 쇼핑으로 속인 http://tjxuequfang.cn/, http://8899tao.com/, http://aa.6352588.cn/index.html, http://fcxcgr.cn/ (허위 쇼핑 정보를 미끼로 금전 편취) △텅쉰(Tencent)가 서비스하는 온라인 게임으로 위장한 www.34k.cc/ (허위 S/W 정보로 계정과 비밀번호 훔침) △가짜 야후(yahoo) 전자우편류 http://peumc.org/wp-content/plugins/hooya/cameo.php?login, www.heltaxi.pl/Dropbox/ (계정과 비밀번호 훔침) △어도비(Adobe) 사이트인 것처럼 속인 http://figueiredocarlucciadv.com.br/SAP/sample/login.htm (계정과 비밀번호 빼냄) 등이 꼽혔다.

한편, 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 11월 7일 19만 5,907명, 8일 19만 498명, 9일 18만 4,296명, 10일 18만 8,943명, 11일~13일 56만 2,656명으로 집계됐다. 또한 중국 내 트로이목마 투입 웹주소는 11월 7일 780개에서 8일 1,146개로 늘었고, 9일 1,530개, 10일 924개, 11일~13일 사흘 동안 2,524개였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>