“PC 시스템 파일 폴더에 바이러스 파일 복제...시스템 느려지게 만들어”
1월 둘째 주 피싱 사이트 4만 1,692개 탐지...10만 명 피해
중국이동통신·텅쉰·알리바바·Apple·Paypal·Gmail 사칭 피싱 사이트 활개

[보안뉴스 온기홍=중국 베이징] 중국에서 파일 폴더 아이콘으로 위장해 PC 사용자를 속여 클릭하게 하고 시스템 파일 폴더에 바이러스 파일들을 복제하며 대량의 CPU 시간과 시스템 자원을 차지해 시스템이 느려지게 만드는 ‘Worm.VBcode!1.6521’란 웜(worm) 바이러스가 지난 주 현재 14만 5,000여대의 PC를 감염시킨 것으로 드러났다.

중국에서 새해 둘째 주(1월 9일~15일) 정보보안업체가 탐지한 피싱 웹사이트는 4만 1,692개에 달했고, 누리꾼 10만명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 ‘Worm.VBcode!1.6521’, 컴퓨터 약 14만 5,000여대 감염시켜
중국 정보보안업체인 루이싱정보기술은 보안시스템을 써서 모니터링하고 누리꾼들의 신고를 종합한 결과, 웜 바이러스 ‘Worm.VBcode!1.6521’가 1월 11일 현재 중국에서 14만 5,182대의 PC를 감염시킨 것을 확인했다고 밝혔다.

이 ‘Worm.VBcode!1.6521’는 파일 폴더 아이콘으로 위장해 PC 사용자를 속여 클릭하게 해서 실행에 들어간다. 이어 컴퓨터 시스템 파일 폴더에 대량의 바이러스 파일을 복제하고, lsass.exe, smss.exe, svchost.exe 등 시스템 파일명으로 바꾼다. 이후 이들 유형의 복사본을 실행하고, 대량의 CPU 시간과 시스템 자원을 점용한다. 이 때문에 시스템이 느려진다. 이밖에 이 웜 바이러스는 지정 파일을 다른 실행 프로그램에 주입하고, 컴퓨터 부팅과 함께 자동으로 활성화하도록 추가하며, 파일 속성을 숨김으로 설정하는 것으로 드러났다. 이 ‘Worm.VBcode!1.6521’에 대한 경계 등급은 별 다섯 개 가운데 네 개다.


중국에서 지난 주 일자 별로 뽑힌 대표적인 바이러스는 ‘Trojan.Win32.BHO.hdz’라고 루이싱정보기술은 밝혔다. 이 바이러스는 1월 9일(연인원 1만 6421명 신고)부터 10일(연 1만 7,352명 신고), 11일(연 1만 5,784명 신고), 12일(연 1만 6,482명 신고), 주말 휴일이 들었던 13일~15일(연 3만 546명 신고)까지 연일 널리 번져 PC 사용자들을 공격했다.

이 바이러스는 PC에 설치된 백신 프로그램을 찾아내어 실행을 중지시키고, 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 이어 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키고, 악성 웹 주소의 트래픽을 늘리며, 대량의 네트워크 자원을 점용하는 것으로 드러났다. 이 때문에 네트워크 속도가 느려지게 된다.

中 1월 둘째 주 피싱 사이트 4만1,692개 탐지...10만 명 공격 받아
중국에서 1월 둘째 주 4만 1,692개의 피싱 사이트를 탐지했다고 이 회사는 밝혔다. 한 주 전에 비해 1만 3,154개 줄었다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 전 주와 비슷한 10만 명에 달했다.

지난주에는 온라인쇼핑으로 위장한 http://lzhxcw.cn/, 중국 텅쉰(Tencent) 사이트를 가장한 http://www.gftxfty.com/qq/, 온라인 금융결제 사이트 페이팔(Paypal)인 것처럼 속인 http://houseofcarspns.com/account/Confirm/websc_signin/, 지메일(Gmail) 전자우편으로 위장한 https://mne.az/Blessin/ba/ 을 비롯한 피싱 사이트들이 누리꾼의 인터넷 사이트 계정·비밀번호, 인터넷 뱅킹 내 금전을 노린 것으로 밝혀졌다.

지난 주 일별로 피싱 사이트의 공격을 받은 중국 누리꾼 수를 보면, 1월 9일 연인원 1만 7,717명, 10일 2만 3,245명, 11일 연 1만 6,640명, 12일 연 2만 3,776명, 주말 휴일이 들었던 13일~15일에는 연 4만 9,977명이었다. 이 회사가 탐지한 피싱 웹주소는 9일 5,188개, 10일 7,186개, 11일 4,933개, 12일 6,880개, 13일~15일 1만 2,386개였다.


중국이동통신·텅쉰·알리바바·Apple·Gmail·Paypal 사칭 피싱 사이트 활개
새해 둘째 주 일별로 중국 누리꾼들을 많이 공격한 피싱 사이트 ‘톱5’에는 △가짜 애플(Apple) ID류 http://crnivrh.si/wordpress/-information.htm, http://imei-icloud.com/stat/data/check?token=d2f7edcd-7, http://view-lastlocated.com/, www.v.realitateadorohoiana.ro/apple/ (카드번호와 비밀번호 훔침) △온라인쇼핑으로 가장한 http://guzhitelighting.cn/, www.atsou.net/, http://lzhxcw.cn/ (허위 쇼핑 정보로 금전 편취) △텅쉰(Tencent)의 온라인게임으로 위장한 http://www.58cf.cc/, www.880cf.com/about/?1.html (허위 S/W 정보로 계정과 비밀번호 빼냄) △텅쉰 사이트로 위장한 http://www.gftxfty.com/qq/ (계정과 비밀번호 노림) △중국 전자상거래 회사 알리바바(Alibaba)인 것처럼 속인 http://artefluff.com.br/blog/15c2d57edf064331b6155361a2eb3abc/, http://diamonddynastyvirginhair2.com/tmp/alibaba/index.php (계정과 비밀번호 빼냄) △아웃록(Outlook) 전자우편으로 위장한 http://mrshengj.wixsite.com/gestep (계정과 비밀번호 노림) △중국 TV 노래 프로그램 ‘중국 신가성’ 주관 당첨을 가장한 http://ramzwatches.com/Submit/wealth/ (허위 당첨 정보로 송금 유도) △온라인 금융결제 사이트 페이팔(Paypal)로 가장한 http://geocapeng.com/Account-Access/, http://houseofcarspns.com/account/Confirm/websc_signin/, http://diving-shop.com.ua/PAYPAL.COM/Update/, www.service-accountt.cf/cadc26ab484d8ec4d7a3b50e41fe9438/login.php (계정과 비밀번호 노림) △지메일(Gmail)로 가장한 http://mariabenito.com/akoko1/arch/edd6187c6bd5186559fbce445a096840/, https://mne.az/Blessin/ba/, http://mariabenito.com/akoko2/arch/ea6147e24c5dd91a002fd1219ba28d87/, http://sayabumaraicar.com/wp-admin/css/gdoc/index.html (계정과 비밀번호 빼냄) △중국이동통신(China Mobile) 고객서비스 번호를 가장한 http://10086.ch2jf.pw, www.10086wff.com (적립포인트 현금 교환을 미끼로 카드번호와 비밀번호 빼냄) △가짜 어도비(Adobe) ID류 http://davia.co.id/ADOBES.ES/d87f0fedac4ea7a37f5423934c0714f0/ (계정과 비밀번호 훔침) 등이 뽑혔다.

이 회사가 보안 시스템을 써서 모니터링하고 누리꾼의 신고를 종합한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 1월 9일 연인원 10만 5,510명, 10일 연 11만 407명, 11일 연 10만 2,645명, 12일 연 10만 4,432명, 주말 휴일이 포함된 13일~15일 연 28만 7,378명으로 집계됐다.

새해 둘째 주 중국 내 트로이목마 투입 웹주소는 지난 9일 89만 4,545개를 기록한 뒤 10일에 2,092개로 급감했으며, 11일 1,497개, 12일 1,840개, 13일~15일 나흘 동안에는 3,985개였다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>