‘Worm.VobfusEx!1.99DF’, 파일·동영상·사진 아이콘 위장...공유파일·USB로 유포
국내외 유명 회사를 가장한 피싱 사이트 기승

[보안뉴스 온기홍= 중국 베이징] 중국에서 웜(worm) 바이러스인 ‘Worm.VobfusEx!1.99DF’이 지난달 27일까지 9만 6,000여대의 PC를 감염 시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 밝혔다.

이 웜 바이러스는 여러 가지로 위장하는데, 파일 폴더, 텍스트 파일, 동영상·사진 아이콘으로 위장해 PC 사용자를 속이는 것으로 드러났다. 사용자가 이들을 클릭하면 바이러스가 실행된다. 이 웜 바이러스는 디렉터리에 이름이 같은 파일 폴더를 만들어 열고, 사용자가 이를 진짜 파일 폴더로 여기게 만든다. 또한 자신을 시스템 디렉터리에 복제하고, PC 부팅과 함께 자동으로 활동을 개시하도록 설정한다.

웜 바이러스는 시스템 안에 더 오래 남아 있기 위해 자신을 복제하고 상용의 시스템 파일 ‘rundll32.exe’을 바꾼다고 이 회사는 설명했다. 이 때문에 매번 ‘rundll32’를 사용해 ‘dll’ 파일을 실행할 때, 우선 바이러스 프로그램을 작동하게 되고, ‘rundII32.exe’을 다시 전용하게 된다.

이 ‘Worm.VobfusEx!1.99DF’는 인터넷 공유 파일과 USB 이동저장장치를 통해 퍼지며, 경계 등급으로는 별 다섯 개 중 네 개가 매겨졌다.


중국에서 이 기간 크게 번져 PC를 공격한 가장 대표적인 바이러스를 일자 별로 살펴보면, 8~11일, 15~16일, 18~21일, 26~30일에는 ‘Trojan.Win32.BHO.hdz’가 꼽혔다. 또한 12~14일에는 ‘Worm.Mail.NetSky.lz’(연인원 2만 1,983명 신고), 17일 ‘Trojan.PSW.Win32.QQPass.fll’(연 2만 7,774명 신고), 22일 ‘Trojan.Win32.VBCode.fio’(연 2만 5,534명 신고), 23일 ‘Trojan.Win32.Fednu.diu’(연 2만 7,592명 신고), 24~25일 ‘Trojan.Win32.Inject.gak’(연 2만 3,357명, 연 2만 2,531명 신고), 31일 ‘Worm.Win32.ECode.fw’(연 2 만8,423명 신고)이 중국 PC 사용자들을 공격한 주요 바이러스로 지목됐다.

이 바이러스들은 PC에 깔린 바이러스 백신 프로그램을 찾아내고 실행을 중지시킨다. 또 레지스트리를 수정해 PC 부팅과 함께 자동으로 바이러스 활동을 시작하게 만든다. 이어 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키며, 대량의 네트워크 소스를 점용하는 것으로 나타났다. 이 때문에 네트워크 속도가 떨어지는 현상이 발생한다.

국내외 유명 회사들로 위장한 피싱 사이트들 기승
이 회사는 보안 시스템을 써서 5월 22일~28일 중국에서 23만2,154개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 6만 명에 달했다.

이 기간 △온라인 금융결제 사이트 페이팔(paypal)을 가장한 http://www.pavpal.com.security-alert-update.com/ △가짜 어도비(Adobe) 사이트 http://stchartered.com/images/adb/index2.htm △온라인쇼핑으로 속인 http://www.fvwjh.cn/ △중국이동통신(China Mobile)로 위장한 http://www.10086czzt.com △지메일(Gmail)을 가장한 http://newtesting.fantasiaconstruction.ca/ 따위의 피싱 사이트들이 누리꾼들의 인터넷 사이트 계정·비밀번호와 금융 계좌 내 금액을 노렸다.

중국에서 피싱 사이트의 공격을 받은 누리꾼 수를 일자 별로 보면, 5월 8일 연인원 1만 4,353명, 9일 2만 2,355명, 10일 1만 7,323명, 11일 2만 1,245명, 주말 휴일 기간인 12~14일 5만 7,639명, 15일 2만 847명, 16일 1만 5,774명, 17일 5,509명, 18일 2만 2,847명, 주말 휴일이 들었던 19~21일 5만 7,632명으로 집계됐다고 이 회사는 밝혔다. 이어 넷째, 다섯째 주에는 22일 1만 1,724명, 23일 1만 5,325명, 24일 2만 2,847명, 25일 2만 3,071명, 단오절 연휴가 든 26일~30일 5만 7,639명, 31일 2만 3,452명이었다.

이 회사가 탐지한 피싱 웹주소는 5월 8일 9,123개, 9일 8,166개, 10일 6,108개, 11일 9만1,886개, 12~14일 1만3,641개, 15일 5,845개, 16일 4,151개, 17일 1,498개, 18일 5,845개, 19~21일 1만3,641개로 확인됐다. 또한 22일에는 3,565개, 23일 9,234개, 24일 5,845개, 25일 5,736개, 26~30일 1만3,641개, 31일 1만340개로 드러났다.


이 기간 일자 별로 대표적인 피싱 사이트들을 살펴보면, 외국계 유명 웹사이트를 사칭한 사이트로 △가짜 애플(Apple) ID류 http://id-findmyiphone-accounts.com/, http://hipmipttelkom.org/in/uk/uk/uk/Signin.php, https://appleid-secure-authen.ngrok.io/ID_Itunes/_account/RU1Y6NV2/fileUpload.php, http://yourdiningapp.com/skin/Aple/8377f4e15ed8208dee71a9aa15056c0d/, http://yourdiningapp.com/skin/Aple/af82d03f20a1f99b937fb07cc3730799/ (계정과 비밀번호 빼냄) △온라인 금융결제 사이트 페이팔(Paypal)로 속인 http://stageproinc.com/administrator/welcome/login.php, http://accountcentralppluk.dynalias.org/supportpplcentral/sign.htm, www.old.gamestart3d.com/v/, http://paypal.login-paypa-l.com/customer_center/customer-IDPP00C824/, http://account-tld.redenilf.com.br/update/, www.its-secure2.net/5cc1cb5c.php, https://techlick.com/plugins/search/easyblog/log/8cd3442cf/signin.php, http://paypal.austrlia.flow.secure.login.munafalnuaimi.com/, www.adss-infoo.co/uss/Payment-update-01.html

(신용카드 번호와 비밀번호 훔침) △가짜 지메일(Gmail)류 http://jovaconstruction.com/newgovdoc/index.php, http://muthaindustries.com/css/, www.bipaparfemi.hr/img/dropbox/, http://foureyesconsulting.com.au/docssecure/, http://bbcasangaria.org/Bo/, http://cnnperu.pe/ypg/newdropbox/index.html, http://ectaca.com.pe/cgi.bin/newdropbox/newdropbox/index.html, http://thailandsmilestravel.com/glass/ (전자우편 계정과 비밀번호 절취) △페이스북(Facebook)을 가장한 http://facebook-italy1.webcindario.com/app/, http://mi-multimedia.xyz/app/ (계정과 비밀번호 훔침) △가짜 야후(Yahoo)류 http://villaserenapachino.it/Taye%20/Yahoo.html
 (전자우편 계정과 비밀번호 빼냄) △가짜 어도비(Adobe)류 http://salvagexhausters.com/offer/offer/property/adobe/, http://tanbin.net/poj/form/index.html
(메일 계정과 비밀번호 훔침) 등이 꼽혔다.

중국 내 온라인쇼핑·게임·은행·포털·이동통신사인 것처럼 속인 피싱 사이트들로는 △온라인쇼핑을 가장한 www.fxdoctor.cn/, www.creditle.com/, http://shanmadang.com/, http://wap.imagefbic.com/, http://10086fzjyw.com/
(허위 쇼핑 정보로 금전 편취) △중국건설은행을 사칭한 http://m.jseyvip.com/, http://wap.ccbvnk.com/
(카드 번호와 비밀번호 빼냄) △중국 TV 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://dxgnxxy.com, http://xgsddh.com, www.bdhr99.cc (허위 당첨 정보로 송금 유도) △텅쉰(Tencent) 온라인게임을 가장한 www.dnfqb.com/, www.dnf1314.com/ (허위 S/W정보로 계정과 비밀번호 훔침) △텅쉰 사이트로 위장한 www.rmtzwqqety.cn/
(계정과 비밀번호 노림)
△중국 포털 사이트 왕이(NetEase) 전자우편으로 속인 www.znxgfexvces.com, http://mpprzzio.com.br/seguraca01/ (계정과 비밀번호 노림) △중국이동통신(China Mobile) 고객 서비스 대표번호를 내세운 http://l0086vvy.com/, www.hskk10086.com, www.10086qwj.com
(적립 포인트의 현금교환 정보로 카드번호와 비밀번호 절취) 등이 탐지됐다.


5월 넷째, 다섯 째 주에는 외국계 유명 웹사이트를 겨냥해 △가짜 이베이(ebay)류 http://tapper.co.il/limited/signin/, http://iyiveri.com/signin-ebay-co-uk-ws-eBayISAPhgs/ (전자우편 계정과 비밀번호 훔침) △Adobe ID를 가장한 http://aptra.mx/wp-includes/SimplePie/jj2/jj2/index2.htm, www.stchartered.com/images/adb/6eae1c14ef06ff5c09f8a114fb658aef/, http://vidadeviajante.com.br/62e1de8315088f05fd1842d9d928a270/, www.googgod.com.ng/SLIPPDF/, http://stchartered.com/images/adb/index2.htm △허위 Gmail류 http://greenbambooresidence.com/vestecay/, www.nextelle.net/g.docs/f79300624788fce2afe0a0ae7a846206, http://newtesting.fantasiaconstruction.ca/, www.curvaplay.com/db/
△페이팔(Paypal)을 가장한 http://validate-information.chelles.co.za/valid/, www.transnasif.com.br/site/wp-includes/certificates/update/, www.pavpal.com.security-alert-update.com/ △아마존(Amazon) 사이트로 위장한 https://hanschudental.com/rwen-billing.config138435-2017/ (계정과 비밀번호 빼냄) △가짜 Yahoo류 http://sometra.com/yahz/Yah/T/Y1.html △가짜 Apple ID류
https://appleid.apple.com-aapp.store/image/data/update/2017/Login.php 등이 활개를 쳤다.

중국 내 은행·전자상거래·포털·이동통신사를 가장한 피싱 사이트들로는 △중국 TV 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://xgssak.com, www.yxgse.cc, http://xgstvzf99.com/ △텅쉰의 온라인게임으로 속인 www.dnffuzu.cn/
△중국건설은행을 사칭한 www.ccibk.com/ △중국 초상은행을 사칭한 http://wap.lcotoc.com/ (카드번호와 비밀번호 빼냄) △가짜 온라인 쇼핑류 www.afternoontime.cn/, www.fvwjh.cn/
△중국이동통신의 고객서비스 대표번호를 내세운 http://10086nhxs.com, www.10086czzt.com, http://hb10086vb.cn △중국 왕이(NetEase) 사이트로 속인 http://xgsdcceady.com
 △중국 전자상거래 회사 알리바바(Alibaba)로 위장한 www.cfmikorodu4.org/ali/index.php (메일 계정과 비밀번호 빼냄) 등이 대표적이었다.

이 회사가 보안 시스템을 써서 조사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 5월 8일 연인원 11만 2,431명, 9일 12만 6,260명, 10일 9만 2,436명, 11일 12만 427명, 12~14일 34만 2,521명, 15일 10만 5,532명, 16일 10만 3,491명, 17일 4,895명, 18일 12만 5,522명, 19~21일 26만 2,434명이었다. 넷째, 다섯 째 주에는 22일 연인원 9만 2,143명, 23일 13만 4,352명, 24일 12만 5,522명, 25일 12만 5,186명, 26~30일 34만 2,521명, 31일 9만 8,437명에 달했다.

중국에서 트로이목마가 투입된 웹주소는 5월 8일 72만 3,134개에 달했다가 9일에는 9,298개로 크게 줄었고, 10일 4,233개, 11일 2만 1,492개, 12~14일 9만 2,207개, 15일 12만 3,651개, 16일 1,307개, 17일 2,050개, 18일 13만3,651개, 19~21일 8만9,207개로 확인됐다고 이 회사는 밝혔다. 이어 22일에는 8만 116개, 23일 91만 3,452개, 24일 13만 3,651개, 25일 13만 7,010개, 26~30일 9만 2,207개, 31일 1,562개의 웹 주소에 트로이목마가 투입된 것으로 드러났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>