‘Worm.VobfusEx!1.99DF’, 파일폴더·텍스트파일·동영상·사진 아이콘 위장
‘Trojan.Win32.Mnless.dy’, 60만대 PC 감염
국내외 유명 회사와 웹사이트 가장한 피싱 사이트 활개

[보안뉴스 온기홍=중국 베이징] 중국에서 웜(worm) 바이러스인 ‘Worm.VobfusEx!1.99DF’가 26일까지 중국에서 43만1,821대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 밝혔다.

‘Worm.VobfusEx!1.99DF’는 6월 셋째 주(12일~18일)에도 중국에서 PC 47만 5,700대를 감염시킨 것으로 밝혀졌다. 지난 5월에도 월말까지 10만대 안팎의 PC를 감염시켰다. ‘Worm.VobfusEx!1.99DF’는 여러 가지로 위장한다. 파일 폴더, 텍스트 파일, 동영상·사진 아이콘으로 위장해 PC 사용자를 속이며, 온라인 공유 파일과 USB를 통해 전파된다.

PC 사용자가 이를 클릭하면 바이러스는 실행에 들어간다. 실행 뒤 먼저 현재 디렉터리(Current Directory)에 이름이 같은 파일 폴더를 만들고 이를 열게 된다. 이로써 사용자가 진짜 파일 폴더로 판단하게 만든다. 그 뒤 자신을 시스템 디렉터리에 복제하고, 컴퓨터 부팅과 함께 자동으로 활동을 개시하도록 설정한다.

‘Worm.VobfusEx!1.99DF’는 시스템에 오랜 기간 남아 있기 위해 자신을 복제하고 상용의 시스템 파일 ‘rundll32.exe’을 바꾼다고 이 회사는 밝혔다. 이에 따라 매번 ‘rundll32’을 사용해 ‘dll’ 파일을 실행할 때 먼저 바이러스 프로그램을 시작하게 되고 ‘rundII32.exe’를 전용하게 된다고 이 회사는 설명했다. 이 ‘Worm.VobfusEx!1.99DF’에 대한 경계 등급은 별 다섯 개 중 네 개다.

또 다른 웜 바이러스 ‘Worm.VB.fa’는 6월 둘째 주(5일~11일) 기간 4만 6,990대의 PC를 감염시킨 것으로 확인됐다. 이 웜 바이러스는 오리지널 시스템 파일을 제어해 PC에 악성 소프트웨어를 추가한다. 또한 레지스트리 키를 수정하고, 파일 확장명을 수정해 컴퓨터 부팅과 함께 자동으로 바이러스 활동을 개시한다. 또 시스템 숨김 파일이 보이지 않도록 설정하고, 안전모드 개시를 제어한다. 컴퓨터가 이 ‘Worm.VB.fa’에 감염되면, 시스템 실행 속도가 느려지고 심지어 컴퓨터가 다운될 수 있다. 이 웜 바이러스에 대한 경계 등급으로 별 네 개가 매겨졌다.

앞서 ‘Trojan.Win32.Mnless.dy’는 6월 첫째 주(5월 29일~6월 4일)에 59만 4,298대의 PC를 감염시킨 것으로 집계됐다고 이 회사는 밝혔다. 이 바이러스는 PC에 실행 뒤 자신을 숨기고, 레지스트리를 바꿔 컴퓨터 부팅과 함께 자동으로 실행되도록 한다. 또 백그라운드에서 PC를 해커가 지정한 웹주소 ‘http://www.g****s.com/s***4/****’에 연결시키고, 다른 악성 프로그램들을 PC에 내려 받는다. 컴퓨터가 이 바이러스에 감염되면 정보가 유출되고 인터넷 뱅킹 관련 금전도 절취 당하는 위험이 발생한다. 이 바이러스에 대한 경계 등급은 별 네 개다.


중국에서 PC를 공격한 가장 대표적인 바이러스를 일자 별로 살펴 보면, 6월 1일에는 ‘Trojan.Win32.BHO.hdz’(연인원 1만 6,964명 신고), 2일~4일 ‘Worm.Script.VBS.Agent.gi’(12만 5,541명 신고), 6일 ‘Trojan.Win32.VBCode.fio’(2만 7,113명 신고), 9일~11일 ‘Trojan.Win32.BHO.gdz’(연 2만 3,953명 신고), 12일 ‘Worm.Win32.Gamarue.w’(2만 7,546명 신고), 14일 ‘Worm.Win32.Gamarue.w’(2만 3,175명 신고), 15일 ‘Trojan.Win32.BHO.hdz’(2만 8,037명 신고), 16일~18일 ‘Trojan.Win32.BHO.hdz’(5만 1,468명 신고), 20일 ‘Trojan.Win32.BHO.hdz’(2만 3,31명 신고), 21일 ‘Trojan.Win32.BHO.hex’(15만 2,531명 신고), 22일 ‘Worm.Script.VBS.Agent.co’(2만 7,841명 신고), 23일~25일 ‘Worm.Script.VBS.Agent.gi’(15만 4,356명 신고), 26일 ‘Worm.Script.VBS.Agent.z’(2만3,591명 신고) 등이 꼽혔다.

이 가운데 ‘Trojan.Win32.BHO.hdz’는 5월 8~11일, 15~16일, 18~21일, 26~30일에도 중국을 휩쓴 대표적인 바이러스에 꼽혔다.

이 바이러스들은 컴퓨터에 설치된 백신 프로그램을 찾아내고 실행을 중지시킨다. 이어 레지스트리를 수정해 PC 부팅과 함께 자동으로 활동을 시작하게 만든다. 또 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키고, 대량의 네트워크 소스를 점용한다. 이 때문에 네트워크 속도가 떨어지게 된다.

누리꾼 인터넷 계정·비밀번호와 금전 편취 노린 피싱 사이트들 기승
이 회사는 보안 시스템을 써서 찾아낸 중국 내 피싱 사이트 수량을 보면, 6월 첫째 주(5월 29일~6월 4일) 5만 4,846개, 둘째 주(5일~11일) 5만 6,346개, 셋째 주(12일~18일), 넷째 주(19일~25일)에 5만 9,323개에 달했다.

피싱 사이트의 공격을 받은 중국 누리꾼 수는 매주 각각 10만 명으로 파악됐다. 이 기간 누리꾼들의 인터넷 사이트 계정·비밀번호와 금융 계좌 내 금액을 노린 대표적인 피싱 사이트 ‘톱5’를 보면, 6월 첫째 주에는 △이베이(ebay)를 가장한 http://piratenproxy.nl/sch/sis.html
△알리바바(Alibaba)로 속인 http://plezor.com/js/extjs/css/alibabaemail/alibaba/
△텅쉰(Tencent) 온라인게임으로 위장한 http://www.006cf.com/
△중국건설은행을 사칭한 http://107.182.167.109/ccb.asp
△가짜 지메일(Gmail) http://www.superloss.com/paro/ 등이 꼽혔다.

둘째 주에는 △가짜 애플(Apple) ID류 http://www.nk-byuro.ru/layouts/libraries/cms/servi/fr/doss/
△어도비(Adobe)를 가장한 http://ortodontiabortolozo.com.br/nn/tor/index.htm
△텅쉰으로 속인 http://www.aizvcc.cn
△가짜 ebay류 http://signin.account.de-idogqxztrwaqhstedkq8bn.pra-hit.me/
△야후(Yahoo)로 위장한 http://kasc.ml/logs/Yah/T/Y1.html
순으로 ‘톱5’ 안에 지목됐다.

셋째 주 피싱 사이트 ‘톱5’는
△온라인 금융결제 사이트 페이팔(paypal)을 가장한 http://uralgrafit.net/products/162/.b/signin.html
△가짜 Adobe류 http://proactivo.com.mx/payment/adobeCom/d6b28e36fc1fa01e2365d424eccc3fbd/
△중국 전자상거래 사이트 알리바바(Alibaba)로 위장한 http://m3499.contabo.net/~ki147022/ingtddffg/be57577d01ed9b0bb1e6/
△가짜 온라인쇼핑류 http://shoujiqianggou1.com/
△가짜 Yahoo류 http://gmailupdadada.es.tl/
등 차례였다.

넷째 주에는 △가짜 Paypal류 http://transaktion-de.cf/page-login.php
△Alibaba를 가장한 http://chester132.com/.hjd/.hdd/aliba/alibaba/
△Adobe로 속인 http://jagdambadigital.com/dk/pdf/index.html
△중국건설은행을 사칭한 http://wap.icvcqt.com/login.asp
△가짜 Gmail류 http://jagdambadigital.com/sun/gduc/index.html#readMedia 순으로 피싱 사이트 톱5에 꼽혔다.

중국에서 피싱 사이트의 공격을 받은 누리꾼 수를 일자 별로 보면, 6월 1일 연인원 1만 5,774명, 2일~4일 5만 7,639명, 6일 1만 6,183명, 9~11일 5만 7,639명, 12일 2만 3,234명, 14일 2만 3,234명, 15일 2만 9,432명이었다. 지난 16일~18일에는 5만 7,639명, 20일 2만 2,360명, 21일 2만 2,360명, 22일 1만 3,234명, 23일~25일 2만 9,825명, 26일 2만 2,360명으로 집계됐다.

이 회사가 탐지한 피싱 웹 주소는 6월 1일 5,151개, 2일~4일 1만 3,641개, 6일 4,564개, 9일~11일 1만 6,641개, 12일 8,387개, 14일 9,521개, 15일 1만 2,280개, 16일~18일 1만 3,441개였다. 지난 20일에는 7,031개로 줄었고, 21일 4,031개, 22일 9,143개, 23일~25일 9,384개, 26일 4,031개로 드러났다.


페이팔페이스북·지메일·야후·애플·어도비·이베이 사칭한 피싱 사이트들 많아
이 기간 일자 별로 대표적인 피싱 사이트들을 살펴 보면, 외국계 유명 웹사이트를 사칭한 사이트로 △금융결제 사이트 Paypal을 가장한 http://rc-sanktingbert-chronik.de/auth/, http://gabanikidneyhospital.com/Login/bb3c0397037abb70c44561982e54924f/, http://uralgrafit.net/products/162/.b/signin.html, http://support-inc-team.security.beget.tech/Home/customer_center/, http://transaktion-de.cf/page-login.php?, http://hotelasturias.com.bo/paypal/PayPal/PayPal/PayPal/ (계정과 비밀번호 절취) △페이스북(facebook)으로 속인 http://m-fb-secure-notifications.hol.es/help/index.php, http://ads-page.co/Confirm/recovery-chekpoint-login.html, www.ads-info-au.biz/es/Payment-update-01.html, http://identity-pages.com/customer/recovery-chekpoint-login.html, http://45.32.70.78/sfullsex/bigvideo.html, http://fb-secure-center-us.hol.es/next/index.php, http://hilight.co.vu/5d41402abc4b2a76b9719d911017e592/pfcb/ar/?i=1060422&i=1060422, http://userpagehere.co.vu/5d41402abc4b2a76b9719d911017e592/fcb/m/fr/?i=1112243 (전자우편 계정과 비밀번호 훔침)

△가짜 야후(Yahoo)류 http://stkipadzkia.ac.id/wp-content/xc/Yah/T/Y1.html, http://kasc.ml/logs/Yah/T/Y1.html, http://gmailupdadada.es.tl/, http://jashny.com/yah/Yah/T/Y1.html www.vamossomewhere.com/antahkaruna/indexing.php (전자우편 계정과 비밀번호 빼냄)
△지메일(Gmail)로 속인 www.superloss.com/paro/, www.amicc.com.br/ot/acec/mmn/misc/, http://theselfiebox.mu/css/abdul/dropbox/, http://marceloringo.com.br/docs/office-investment/index.php, www.patiofresh.com/system/data/0a9d4e035aacde0bb38c5d056a5e7add/, http://redhawkairsoft.com/UTD/ribey/index.php, http://jagdambadigital.com/sun/gduc/index.html#readMedia, http://raudatravels.com/wp-admin/js/sde/GD/ (전자우편 계정과 비밀번호 절취) 등이 탐지됐다.

이와 함께 △가짜 Apple ID류 www.drzwi.malopolska.pl/bin/confirmation/billing.php, http://awangardanysa.pl/apple.com/Apple%202017/images/details.php, www.nk-byuro.ru/layouts/libraries/cms/servi/fr/doss/, www.waleedstone.com/misc/icloudscomstrg/, http://bludginator.com/media/system/swf/support/accountSummary_confirm.php, www.online-sizeserheitshilfe.com/az_script/signin_assoc.handle.php (은행카드 번호와 비밀번호 훔침)

△가짜 Adobe류 http://promila-001-site1.etempurl.com/somch/lar.html, http://ortodontiabortolozo.com.br/nn/tor/index.htm, http://todochiceventos.com/sos/PDFFILE/, http://proactivo.com.mx/payment/adobeCom/d6b28e36fc1fa01e2365d424eccc3fbd/, http://jagdambadigital.com/dk/pdf/index.html
(전자우편 계정과 비밀번호 노림)
△이베이(ebay)를 가장한 http://gamegamao.com.br/update/, http://piratenproxy.nl/sch/sis.html, http://signin.account.de-idogqxztrwaqhstedkq8bn.pra-hit.me/ (전자우편 계정과 비밀번호 빼냄) 등도 활개를 쳤다.


中 알리바바·텅쉰·건설은행·중국이동통신·TV인기프로그램 위장한 피싱 사이트 기승
중국 내 전자상거래·게임·포털·은행·이동통신사인 것처럼 속인 피싱 사이트들로는 △중국 최대 전자상거래 사이트 알리바바(Alibaba)로 위장한 http://plezor.com/js/extjs/css/alibabaemail/alibaba/, https://www.gdesignhotel.si/alibaba/index.php?email=abuse@gmai.com, http://m3499.contabo.net/~ki147022/ingtddffg/be57577d01ed9b0bb1e6/, http://marcacia-controles.com.br/bdemerald/fotos/clientes/161/alibaba/, http://raynic.com/UploadSection/o0/alibaba, http://chester132.com/.hjd/.hdd/aliba/alibaba/(전자우편 계정과 비밀번호 빼냄) △온라인쇼핑을 가장한 http://www.nnlfzs.cn/detail/, http://shoujiqianggou1.com/ (허위 쇼핑 정보로 금전 편취) 등이 발견됐다.

중국 최대 포털·게임업체인 텅쉰과 관련해서는 △가짜 텅쉰 사이트 http://inativas2017.com/login.html, http://eifaqf.cn/login.php, http://www.aizvcc.cn, http://ctxasxw.com/index.php (허위 로그인 정보로 계정과 비밀번호 노림)
△텅쉰의 온라인게임을 가장한 http://www.006cf.com/
(허위 S/W 정보로 계정과 비밀번호 훔침)
△텅쉰의 보안 솔루션으로 가장한 http://ddwezrya.com/index.php, http://kywzreva.com/index.php (계정과 비밀번호 훔침)이 탐지됐고,
△중국 포털 왕이(NetEase)를 가장한 http://cqjxdjj.net/mail.php(전자우편 계정과 비밀번호 빼냄)도 누리꾼들을 공격했다.

이어 △중국건설은행을 사칭한 http://107.182.167.109/ccb.asp, http://wap.icbcjpy.com/login1.asp?id=230, http://wap.icvcqt.com/login.asp (카드번호와 비밀번호 편취)
△중국이동통신(China Mobile) 고객서비스 대표 번호를 내세운 http://www.hsy10086hf.com, http://www.10086cbj.com, www.10086vzwbj.com(적립포인트의 현금교환 정보로 카드번호와 비밀번호 절취) 등도 활개를 쳤다.

아울러 △중국판 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’ 주관 당첨으로 속인 http://ppzwag.com(허위 당첨 정보로 송금 유도)
△중국 TV 노래 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://ddwya.com
(허위 당첨 정보로 송금 유도) 등 TV 인기 프로그램을 사칭한 피싱 사이트들도 탐지됐다.


이 회사가 보안 시스템을 써서 조사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 6월 1일 연인원 13만 3,491명, 2일~4일 34만 2,521명, 6일 9만 8,232명, 9일~11일 37만 3,222명, 12일 12만 4,315명, 14일 14만 3,678명, 15일 9만 1,483명, 16일~18일 37만 2,521명, 20일 16만 4,817명, 21일 14만 2,817명, 22일 14만 3,431명, 23일~25일 1만 6,344명, 26일 14만 2,817명이었다.

중국에서 트로이목마가 투입된 웹주소는 6월 1일 1,407개, 2일~4일에는 9만 9,207개로 크게 줄었고, 6일 12만 435개, 9일~11일 8만 7,205개, 12일 14만 3,457개, 14일 12만 3,765개, 15일 2,194개, 16일~18일 9만 3,207개, 20일 11만 1,416개, 21일 12만 1,416개, 22일 83만 3,521개, 23일~25일 7,608개, 26일 12만 1,416개인 것으로 드러났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>