‘Worm.VobfusEx!1.99DF’, 파일폴더·텍스트 파일·영상 사진으로 위장
중국 TV프로그램·중국이동통신·Paypal·Apple·Gmail 등 가장한 피싱 사이트 기승

[보안뉴스 온기홍= 중국 베이징] 중국에서 파일 폴더와 텍스트 파일, 영상, 사진으로 위장해 PC 사용자를 속이고 온라인 공유 파일과 USB 기기를 통해 전파되는 웜(worm) 바이러스 ‘Worm.VobfusEx!1.99DF’가 지난 7일 현재 14만 3,767대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체 루이싱정보기술은 밝혔다. 

이 웜 바이러스는 PC에서 파일 폴더로 위장하고, 사용자가 이 폴더를 클릭한 뒤 실행을 개시한다. 이어 디렉터리에 이름이 같은 파일 폴더를 만든 다음 이를 열고, 사용자가 이를 진짜의 파일 폴더로 여기도록 속인다. 이 바이러스는 시스템 디렉터리에 자신을 복제하고 PC 부팅과 함께 자동으로 시작하도록 설정한다. 

또한 시스템에 더 오래 상주하기 위해 자신을 복제하고 상용 시스템 파일 ‘rundll32.exe’을 바꾸는 것으로 드러났다. 아울러 진짜의 ‘rundll32.exe’을 ‘rundII32.exe’로 다시 명명한다고 이 회사는 밝혔다. 매번 ‘rundll32’을 사용해 ‘dll’ 파일을 실행할 때마다 우선 바이러스 프로그램을 개시하고, ‘rundII32.exe’을 다시 전용하는 것으로 나타났다. 이 ‘Worm.VobfusEx!1.99DF’는 온라인 공유 파일과 USB 이동 기기를 통해 전파된다. 이 웜 바이러스에 대한 경계 등급으로는 별 다섯 개 가운데 네 개가 매겨졌다. 


중국에서 PC 사용자를 공격한 대표적인 바이러스들을 일자 별로 보면, 4월 11일(연인원 1만 5,934명 신고)과 12일(연 1만 5,784명 신고) 이틀 연속 ‘Trojan.Win32.BHO.hdz’가 꼽혔다. 이어 13일에는 ‘Trojan.Win32.Fednu.diu’(연 2만 7,499명 신고), 주말 휴일이 들었던 14일~16일(연 4만 1,068명 신고)에는 ‘Trojan.Win32.BHO.hdz’가 다시 활개를 쳤다. 17일에는 ‘Trojan.Spy.Win32.Zbot.gan(연 2만 7,889명 신고)’이 지목됐고, 18일(연 1만 6,482명 신고)과 19일(연 1만 6,875명 신고) 이틀 연속 ‘Trojan.Win32.BHO.hdz’가 또 다시 크게 번져 PC 사용자들을 공격했다. 

중국 TV프로그램·중국이동통신·Paypal·Apple·Gmail 등 가장한 피싱 사이트 퍼져
루이싱정보기술은 지난 3일~9일 한 주 동안 중국에서 24만6,846개의 피싱 사이트를 찾아 냈다고 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 달했다. 피싱 사이트의 공격을 받은 중국 누리꾼 수를 일자 별로 보면, 4월 11일 연인원 1만 3,434명, 12일 연 1만 1,433명, 13일 연 1만 2,445명, 14일~16일 연 5만7,639명, 17일 연 1만 2,445명, 18일 연 2만3,776명, 19일 연 2만 1,994명으로 확인됐다고 이 회사는 밝혔다. 이 회사가 탐지한 피싱 웹 주소는 11일 9,283개, 12일 8,283개, 13일 9,134개, 14일~16일 1만 681개, 17일 9,134개, 18일 6,880개, 19일 6,787에 달했다.

중국에서 활개를 친 대표적인 피싱 사이트들을 일자 별로 보면, 먼저 지난 3일~9일에는 △어도비(Adobe) 웹사이트를 가장한 http://nightride.info/uni.php?id=name
△중국 텅쉰(Tencent)의 온라인게임으로 속인 http://www.dnfqb.com/
△중국건설은행을 사칭한 http://wap.ccbljf.cc
△온라인 금융결제 사이트 페이팔(Paypal)로 위장한 https://sh24.ich-11.com/~shreejicool/newpp/signin/?user=&CC=US
△지메일(Gmail)을 가장한 http://swanghardrecords.com/21/GoogleD/dld/us/
등이었다.

중국에서 일자별 피싱 사이트 톱5를 보면, 먼저 외국 유명 웹사이트를 가장한 피싱 사이트에는 △가짜 Paypal 사이트류 https://sh24.ich-11.com/~shreejicool/newpp/signin/?user=&CC=US, www.susangartner.com/verify-your-account/, www.ketsers.nl/dico/export/bin/css/, http://51.15.49.62/paypal/, http://paypal-online-security.exitointernational.com/, www.trinitytheological.com/update-account-signin/
(카드번호와 비밀번호 노림) △가짜 Gmail류 http://swanghardrecords.com/21/GoogleD/dld/us/, http://thewiseplanners.com/E-Drive-php/, http://d233870.u-telcom.net/peter/fearn/
(전자우편 계정과 비밀번호 절취) △Adobe를 가장한 http://nightride.info/uni.php?id=name, http://mizuumiseed.com/adobeonline1/fileadb17/index2.htm 
(계정과 비밀번호 훔침) △애플(Apple) ID로 가장한 https://www.ttquiz.tn/include/no-no/, www.tripbooker.com.np/images/apple1/home, http://partner-merchant-verif.usa.cc/?/IDMSWebAuth/login.html (카드번호와 비밀번호 빼냄) △가짜 페이스북(Facebook) http://informationproblem.com/Pages/recovery-chekpoint-login.html, http://zxcvb0de8.esy.es/security.page/
(계정과 비밀번호 훔침) △아마존(Amazon) 웹사이트로 위장한 http://signin.amazon.co..id-3234.staticfiction.com/id/ap/, http://signin.amazon.co.uk-prime.form-unsuscribe.id-3756.com/id/
(계정과 비밀번호 빼냄) △이베이(ebay)로 속인 http://taswic.com/wsse9181131383/index.php (계정과 비밀번호 절취) △가짜 야후(Yahoo) 사이트 http://www.collegelibermann.org/csss/, http://pranavinvestment.com/cghii/ (전자우편 계정과 비밀번호 절취) 등이 꼽혔다. 

중국 유명 웹사이트인 것처럼 속인 피싱 사이트들로는 △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://u3348031.sendgrid.net/, http://dsatp.com/a3050/0636/5130/zz5501.shtml, http://lxmxm.com, http://wap.ccbkfr.cc/, http://hiznj.com, http://xmjlnk.com, http://bingpx.com/html/zz2653.shtml (허위 당첨 정보로 송금 유도) △텅쉰의 온라인게임으로 속인 www.dnfqb.com/, http://dnf.520fzz.com/, www.dnf300.com/, www.006cf.com/

(허위 S/W 정보로 계정과 비밀번호 빼냄) △중국이동통신(China Mobile)로 가장한 http://hsy10086zj.com (적립포인트의 현금교환을 미끼로 카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.ccbljf.cc, http://wap.ccivzq.com/
(카드번호와 비밀번호 편취) 등이 탐지됐다. 

이 회사가 보안 시스템을 써서 검사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 4월 11일 연인원 13만 3,241명, 12일 연 11만 3,221명, 13일 13만 5,281명, 주말 연휴가 든 14일~16일 31만 2,421명, 17일 연 13만 5,281명, 18일 연 10만 4,482명, 19일 연 13만 1,139명으로 집계됐다.

중국에서 트로이목마가 투입된 웹주소는 11일 93만 3,321개, 12일 87만 3,121개, 13일 91만 3,135개, 14일~16일 주말 연휴 사흘 동안에는 9만 207개로 줄었다. 지난 17일에는 반등해 91만 3,135개에 달했다가 18일에는 1,840개로 급감했으며, 19일에는 15만 3,397개였다고 이 회사는 밝혔다. 

출처: 보안뉴스