‘Worm.Win32.Agent.yzs’, 11월 24일 현재 PC 9만 8,782대 감염
‘Trojan.Win32.BHO.hdz’, 9월부터 지속 활개
11월 넷째 주 피싱 사이트 2만 6,740여개 탐지...10만명 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 내 레지스트리를 수정해 부팅과 함께 자동으로 활동을 개시하고, PC 내 정보를 훔치는 ‘Worm.Win32.Agent.yzs’란 이름의 새 웜(Worm) 바이러스가 10만대 안팎의 컴퓨터를 감염시킨 것으로 밝혀졌다. 또한, 지난 11월 넷째 주(21일~27일) 중국에서 피싱 사이트 2만 6,740여 개가 탐지됐고, 피싱 사이트의 공격을 받은 누리꾼 수는 10만 명에 달한 것으로 파악됐다.

中 ‘Worm.Win32.Agent.yzs’, 컴퓨터 약 10만대 감염시켜
중국 정보보안업체인 루이싱정보기술은 보안시스템을 써서 모니터링 하고 누리꾼들의 신고를 종합한 결과, ‘Worm.Win32.Agent.yzs’라는 웜 바이러스가 11월 24일 현재 중국에서 9만 8,782대의 PC를 감염시킨 것을 확인했다고 밝혔다.

이 웜 바이러스는 PC 시스템 키 디렉터리 아래 위장된 자신의 복제본을 투입하고, 시스템 키 실행 프로그램으로 명명한다. 이어 컴퓨터 부팅과 함께 자동으로 활동을 시작하는 방식으로 컴퓨터 안에 침입한다. 또 컴퓨터 사용자의 다운로드, 웹페이지 내 트로이목마 삽입, 온라인 SNS 툴 등의 경로를 통해 자신의 복제본을 투입하고 시스템을 번갈아 감염시킨다. 이 웜 바이러스에 감염된 컴퓨터 사용자는 중요한 정보를 도난당할 위험에 놓이게 된다. 이 ‘Worm.Win32.Agent.yzs’에 대한 경계 등급으로는 별 다섯 개 가운데 네 개가 매겨졌다.


‘Trojan.Win32.BHO.hdz’, 9월부터 대표적 PC 바이러스로 꼽혀
지난 주 일별로 중국 전역에서 가장 많이 퍼져 누리꾼을 공격한 바이러스에는 ‘Trojan.Win32.BHO.hdz’가 꼽혔다고 루이싱정보기술은 밝혔다. ‘Trojan.Win32.BHO.hdz’는 11월 21일(1만 5,114명 신고)부터 22일(1만 4,371명 신고), 23일(1만 5,247명 신고), 24일(1만 6,131명), 주말 휴일이 들었던 25일~27일(2만 5,741명 신고)까지 연일 널리 퍼져 누리꾼들을 공격했다. 이 바이러스는 9월 둘째 주부터 지속적으로 중국 PC 사용자들에게 피해를 입히고 있는 대표적인 바이러스로 지목돼 왔다.

‘Trojan.Win32.BHO.hdz’는 컴퓨터에 깔린 바이러스 백신 프로그램을 찾아내고 그 실행을 중지시킨다. 또한, PC 내 레지스트리를 수정해 부팅과 함께 자동으로 활동을 개시한다. 이어 백그라운드에서 PC를 해커가 지정한 특정 웹 주소에 연결시키고, 악성 웹 주소의 트래픽을 늘리며 대량의 네트워크 자원을 점용한다. 이 때문에 네트워크 속도가 느려지게 된다고 보안 업체는 설명했다.

中 11월 넷째 주 피싱 사이트 2만6,741개 탐지...10만명 공격 받아
중국에서 지난 주 2만 6,741개의 피싱 사이트가 탐지됐다고 이 회사는 밝혔다. 한 주 전에 비해 2,500개가량 늘었다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 비슷한 10만 명에 달했다.

이런 가운데 지난 주 온라인 쇼핑을 가장한 http://f.rwx123.cn/index.html, 중국건설은행을 사칭한 http://www.ccbtnq.cc/default.asp, 애플(Apple) ID인 것처럼 속인 http://tozze.nl/administrator/appleid-verify/applhtee/, 가짜 지메일(Gmail) 전자우편류 http://taxmail01.com/GOG/yGnHFKdhsd.php 따위의 피싱 사이트들이 누리꾼의 인터넷·전자우편 계정과 비밀번호를 훔치고 인터넷 뱅킹에서 돈을 가로채려 한 것으로 드러났다.

지난 주 일별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 11월 21일 1만 3,435명, 22일 2만 754명, 23일 1만 7,881명, 24일 1만 7,091명, 주말 휴일이 포함된 25일~27일 사흘 동안 1만 7,091명이었다. 이 회사가 탐지한 피싱 웹주소는 21일 4,013개, 22일 6,614개, 23일 5,192개, 24일 5,900개, 25일~27일 1만 2,183개였다.


지난 주 일별로 중국 누리꾼들을 많이 공격한 피싱 사이트 ‘톱5’에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://gas-lights.biz/PayPal/, www.arenda-avtovishki.spb.ru/app/, www.dmmadvertisingandmarketing.com/ogin/websc-login.php (메일 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://jcbtq.com/jianshe/app/b2cmainb1l6.asp, www.ccbtnq.cc/default.asp, www.ccbtnq.cc/default.asp, www.ccbmuic.com/, http://wap.sgcbbws.cc/ (카드 번호와 비밀번호 편취) △중국이동통신(China Mobile)의 고객 대표번호(10086)를 내세워 위장한 www.10086kry.com (적립포인트의 현금 교환을 미끼로 카드 번호와 비밀번호 훔침) △가짜 애플(Apple) ID류 www.direct-office365.com/id/id/, http://tozze.nl/administrator/appleid-verify/applhtee/, http://tozze.nl/administrator/appleid-verify/applhtee/, www.icloud.com-back.tech/, http://manufacturebag.com/PHPMailer/language/account/userid/ (계정과 비밀번호 노림) △지메일(Gmail) 전자우편을 가장한 http://forestparkneighbors.org/Builders/box16/, http://taxmail01.com/GOG/yGnHFKdhsd.php, http://taxmail01.com/GOG/yGnHFKdhsd.php, www.bataanppo.com/safegoogledDoc/index.php, http://192.185.97.208/~lemelinservices/amcfile/ (계정과 비밀번호 빼냄) △온라인 구매 사이트 이베이(eabay)로 속인 http://einlogenebeydesslrs.nazeltravels.com/, http://einlogenebeydesslrs.nazeltravels.com/ (계정과 비밀번호 노림) △허위 온라인 쇼핑류 http://f.rwx123.cn/index.html, http://f.rwx123.cn/index.html, http://dream.hebeibiaoqi.com/, http://10086.ch2jf.pw/ (쇼핑 정보를 미끼로 금전 편취) 등이 꼽혔다.

루이싱정보기술이 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 11월 21일 17만 5,690명, 22일 15만 6,168명, 23일 15만 8,440명, 24일 14만 5,516명, 25일~27일 47만 1,126명으로 집계됐다. 이 회사가 보안 시스템을 써서 탐지한 중국 내 트로이목마 투입 웹주소는 21일 552개, 22일 1,151개, 23일 1,052개, 24일에는 24만 6,468개까지 급증했고, 25일~27일 사흘 동안에는 4,126개였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>