PC 시스템 실행 속도 느려지게 하고 마비까지 일으켜
지난 주 피싱 사이트 2만 7,300여개 탐지...10만 명 피해
애플·페이팔·Gmail·텐센트·중국건설은행 사칭한 피싱 사이트 기승

[보안뉴스 온기홍= 중국 베이징] 중국에서 이달 들어 PC를 해커 쪽 웹주소에 연결시키며 컴퓨터 시스템 실행을 느리게 하고 마비까지 시키는 ‘Worm.VB.fa’란 새 웜(worm) 바이러스가 7만 6,400여대의 PC를 감염시킨 것으로 드러났다. 또 지난 주(12월 5일~11일) 중국에서 정보보안업체가 탐지한 피싱 웹사이트는 2만 7,300여개에 달했고, 누리꾼 10만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 ‘Worm.VB.Fa’, 컴퓨터 7만 6,000여대 감염시켜
중국 정보보안업체인 루이싱정보기술은 보안 시스템을 써서 조사하고 누리꾼들의 신고를 종합한 결과, ‘Worm. VB. Fa’라는 웜 바이러스가 12월 9일 현재 중국에서 7만 6,424대의 PC를 감염시킨 것을 확인했다고 밝혔다.

‘Worm.VB.Fa’는 오리지널 시스템 파일을 제어해 PC에 악성 SW를 내려 받는다. 또 레지스트리 키를 수정하고 파일 확장명을 숨겨 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 시스템 숨김 파일이 표시되지 않도록 설정하고, 안전모드 실행을 제어한다. 컴퓨터가 이 웜 바이러스에 감염되면, 시스템 실행 속도가 느려지고 심할 경우 마비까지 될 수 있다. 이 ‘Worm.VB.Fa’에 대한 경계 등급으로는 별 다섯 개 가운데 네 개가 매겨졌다.


‘Trojan.Win32.BHO.hdz’, 세 달째 활개
중국에서 지난 주 일별로 널리 퍼져 누리꾼을 공격한 대표적인 바이러스는 ‘Trojan.Win32.BHO.hdz’라고 루이싱정보기술은 밝혔다. 이 바이러스는 3개월 연속 중국에서 PC 사용자들에게 피해를 입히고 있다.

‘Trojan.Win32.BHO.hdz’는 5일(연인원 1만 5,742명 신고)부터 6일(1만 4,471명 신고), 7일(1만 5,231명 신고), 8일(1만 6,147명 신고), 9일~11일(2만 1,947명 신고)까지 계속해서 중국 누리꾼들을 공격했다. 이 바이러스는 PC에서 안티바이러스 프로그램을 찾아내고 그 실행을 중지시키며, 레지스트리를 수정해 부팅과 함께 자동으로 활동을 개시한다. 또한, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 악성 웹 주소의 트래픽을 늘리며 네트워크 자원을 대량 점용한다. 이 때문에 네트워크 속도가 느려지게 된다고 이 회사는 설명했다.

中 지난 주 피싱 사이트 2만7,329개 탐지...10만 명 공격 받아
중국에서 지난 주 2만 7,329개의 피싱 사이트가 탐지됐다고 이 회사는 밝혔다. 한 주 전에 비해 5,091개 줄었다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 가까웠다. 이런 가운데 지난 주 중국이동통신(China Mobile)을 가장한 http://oj-10086.com, 온라인 금융결제 사이트 페이팔(Paypal)로 위장한 http://www.pnw.com.br/Paypal/paypal%20clean/mpp/mpp/date/, 지메일(Gmail) 전자우편인 것처럼 속인 http://btelco.com/2016Dropbox/index.php를 비롯한 피싱 사이트들이 누리꾼의 인터넷 계정과 비밀번호를 훔치고 인터넷 뱅킹 내 금전을 훔치려 한 것으로 드러났다.

지난 주 일별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 12월 5일 연인원 1만 6,286명, 6일 2만 2,089명, 7일 1만 6,550명, 8일 2만 3,211명, 주말 휴일이 들었던 9일~11일에는 6만 847명이었다. 이 회사가 탐지한 피싱 웹주소는 5일 3,978개, 6일 5,547개, 7일 4,613개, 8일 6,472개, 9일~11일 1만 3,847개였다.

지난 주 일별로 중국 누리꾼들을 많이 공격한 피싱 사이트 ‘톱5’에는 △가짜 애플(Apple) ID류 http://eservicyopica.com/conecte.php, http://discountsfor.us/now/Login/, http://apple.location-finders.com/index.php?lang=En, http://modeltoys.africaforever.org/accountSummary.php (계정과 비밀번호 훔침) △텅쉰(Tencent) 온라인게임을 가장한 www.dnf04.com/ (허위 S/W 정보로 계정과 비밀번호 빼냄) △텅쉰(Tencent) 사이트로 위장한 http://secure-resolved-limited-pavpal.iris.co.in/ (허위 로그인 정보를 미끼로 계정과 비밀번호 노림) △중국건설은행을 사칭한 www.ccziac.com/, http://95533yiccb.com/, http://jcbqm.com/jianshe/app/ins.asp (카드 번호와 비밀번호 편취) △가짜 Paypal류 www.leewoo.kr/login/update-your-account/websc-login.php, http://kontoinfo.com/master/de-DE/customer/1/Ojo=/1576.html, www.pnw.com.br/Paypal/paypal%20clean/mpp/mpp/date/, http://gator4068.hostgator.com/~moris/lok/FTEROO09K/ (계정과 비밀번호 훔침) △가짜 Gmail 전자우편류 http://ethnicjunction.com/busines/index.php, http://905films.com.br/Ddbox./, http://womenphysicians.org/Dee/secure-domains/document, http://btelco.com/2016Dropbox/index.php (계정과 비밀번호 노림) △중국 인터넷 포털 왕이(Netease)를 가장한 http://thehonurestaurant.com/index.html (계정과 비밀번호 훔침) △온라인 쇼핑을 가장한 www.apple-hk.mobi/ (허위 쇼핑 정보로 금전 편취) △어도비(Adobe)로 속인 www.vtopcell.com/catalogs/adobe1/ (계정과 비밀번호 훔침) △페이스북(Facebook)으로 위장한 www.plurioneopair.com/ (계정과 비밀번호 빼냄)
△중국이동통신 고객 대표번호로 위장한 http://oj-10086.com, http://mejf10086.com (적립포인트의 현금교환을 미끼로 카드번호와 비밀번호 훔침) △중국 초상은행을 사칭한 http://wap.sjsqa.com (허위 신청 정보로 카드번호와 비밀번호 빼냄) △가짜 야후(Yahoo) 메일류 http://sewingbritzbooks.com/yahoo/login.php (계정과 비밀번호 노림) 등이 꼽혔다.

한편, 루이싱정보기술은 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 12월 5일 연인원 12만 4,813명, 6일 10만 9,754명, 7일 11만 1,682명, 8일 11만 1,290명, 주말 연휴가 포함된 9일~11일 32만 964명으로 집계됐다고 발표했다. 중국 내 트로이목마 투입 웹주소는 5일 18만 9,985개로 최고치를 기록한 뒤 감소세로 돌아서 6일에는 6만 3,231개, 7일 5만 447개, 8일 2만 6,079개, 9일~11일에는 3,632개로 계속 줄었다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>