세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
中 웜 바이러스에 PC 43만대 감염...피싱 사이트 TOP 5는?
  |  입력 : 2017-07-07 09:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘Worm.VobfusEx!1.99DF’, 6월에 연 120만여 대 컴퓨터 감염시켜
중국과 외국 유명 회사와 웹사이트로 위장한 피싱 사이트 기승


[보안뉴스 온기홍=중국 베이징] 중국에서 웜(worm) 바이러스인 ‘Worm.VobfusEx!1.99DF’가 6월 30일까지 중국에서 42만 919대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 5일 밝혔다. 이 웜 바이러스는 6월 셋째 주(12일~18일)에도 중국에서 PC 47만 5,700대를, 넷째 주에는 중국에서 43만1,821대의 PC를 감염시켰다. 5월에도 월말까지 10만대 안팎의 PC가 감염됐다.

‘Worm.VobfusEx!1.99DF’는 파일 폴더, 텍스트 파일, 동영상·사진 아이콘으로 위장하고 온라인 공유 파일과 USB를 통해 퍼진다. PC 사용자가 이 아이콘들을 클릭하면, 바이러스는 실행에 들어간 뒤 현재 디렉터리(Current Directory)에 이름이 같은 파일 폴더를 만들고 사용자를 속인다. 이어 시스템 디렉터리에 자신을 복제하고, 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 또한, 시스템에 오랜 기간 남아 있기 위해 자신을 복제하고 상용의 시스템 파일 ‘rundll32.exe’을 바꾼다. 이 때문에 ‘rundll32’를 사용해 ‘dll’ 파일을 실행할 때마다 먼저 바이러스 프로그램을 시작하고 ‘rundII32.exe’를 전용하게 된다.

중국에서 컴퓨터를 공격한 대표적인 바이러스를 일자별로 살펴보면, 6월 27일에는 ‘Worm.Mail.NetSky.lz’이 꼽혔다. 연인원 2만 7,341명이 신고했다. 이 웜 바이러스는 주말 휴일이 든 6월 30일~7월 2일(연인원 2만 2,983명 신고) 사흘 동안에도 중국을 휩쓴 대표적인 바이러스로 지목됐다.

또한 6월 28일에는 ‘Trojan.Win32.BHO.hdz’(연 1만 8,784명 신고), 29일 ‘Trojan.Win32.VBCode.fio’(연 2만 7,145명 신고), 7월 3일 ‘Trojan.Win32.Fednu.diu’(연 2만 7,499명 신고), 4일에는 ‘Worm.Script.VBS.Agent.co’(연 2만 9,841명 신고) 등이 중국 컴퓨터 사용자를 공격한 대표적인 바이러스에 꼽혔다.

▲ 6월 26일~7월 4일 중국내 주요 PC 바이러스[자료=중국 루이싱정보기술]


이 중 ‘Trojan.Win32.BHO.hdz’는 지난 5월에 이어 지속적으로 중국에서 컴퓨터를 공격하고 있다.

이 바이러스들은 컴퓨터 내 백신 프로그램의 실행을 중지시키고, 레지스트리를 수정해 PC 부팅과 함께 자동으로 활동을 시작한다. 또 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키고, 대량의 네트워크 소스를 점용한다. 이로써 네트워크 속도가 떨어지게 만든다.

인터넷 계정·비밀번호와 금전 노린 피싱 사이트들 기승
이 회사가 지난 한 주 보안 시스템을 써서 찾아낸 중국 내 피싱 사이트 수량은 6만2,343개에 달했다. 한 주 전에 비해 3,000개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 가까웠다고 이 회사는 밝혔다.

지난 주 중국 누리꾼들의 인터넷 사이트 계정·비밀번호와 금융 계좌 내 금액을 노린 대표적인 피싱 사이트 ‘톱5’에는 △애플(Apple) ID를 가장한 http://so-socomix.com/moodle/Apl/0386ed3b92bead2219eda47921ae6793/
△텅쉰(Tencent) S/W로 속인 http://26qq.cc/ △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://www.russellshort.com/login/Account/Support/ID-NUMB385/
△중국 인터넷 포털 왕이(NetEase) 전자우편으로 위장한 http://xgeraaus.com/mail/index.php
△가짜 지메일(Gmail)류 http://ayselweb.com/aguda/liamg1.php
등이 꼽혔다.

중국에서 피싱 사이트의 공격을 받은 누리꾼 수를 일자 별로 보면, 6월 27일 연인원 1만 4,437명, 28일 1만 1,433명, 29일 1만 1,433명, 주말 휴일이 들었던 6월 30일~7월 2일 사흘 동안 5만 4,639명, 7월 3일 1만 2,445명, 4일 1만 8,543명으로 집계됐다. 이 회사가 탐지한 피싱 웹 주소는 6월 27일 6,423개, 28일 9,283개, 29일 9,283개, 6월 30일~7월 2일 1만 3,641개, 7월 3일 7,134개, 4일 8,131개로 드러났다.

Paypal·Gmail·Facebook·Apple·Adobe 가장한 피싱 사이트 활개
이 기간 일별 피싱 사이트 톱5를 보면, 외국 유명 웹사이트를 가장한 피싱 사이트로는 △가짜 페이팔(Paypal)류 (계정과 비밀번호 빼냄) http://accumetmaterials.com/new/_vti_txt/pregasiau/egrete/, http://shahajservice.com/css/login/Pay/Pal/, http://hilfe-kundencenter-paypal.center/signin/, www.russellshort.com/login/Account/Support/ID-NUMB385/, www.confirmation-paypal.xomia.com/customer_center/customer-IDPP00C947, http://jetclick.ru/update-info/
(계정과 비밀번호 훔침) △가짜 Gmail류 http://857.guitars/images/a/dropbox/com/data_docssl/sslsecure/, http://dbdoc-views.d3an1ght.com/DropB/ayo1/ayo1/ayo1/, http://mustardseedproperties.com.au/freshuk/4b831729db0272e00978fdbd6d1bdbd4/, http://ayselweb.com/aguda/liamg1.php, www.radionuevaeraxalapa.com/operations/dpbx/, http://gayatrictscan.com/layout/http/dropbox/reviewdoc/ssl-server/ (전자우편 계정과 비밀번호 노림) 등이 탐지됐다.

또한 △페이스북(Facebook)인 것처럼 속인 http://ads-info-asia.info/ads2017/recovery-answer.html, http://imonulge.org/fbpages/payment-update-0.html, www.manager-services-usa.com/ads/recovery-answer.html (신용카드 번호와 비밀번호 노림) △가짜 어도비(Adobe)류 www.hosttec.net.br/DBN/pdf/index.html, www.escuelaartisticaadufey.cl/info/form/ (전자우편 계정과 비밀번호 노림) △가짜 애플(Apple) ID류 http://so-socomix.com/moodle/Apl/0386ed3b92bead2219eda47921ae6793/ (계정과 비밀번호 훔침) 등이 누리꾼들을 공격했다.

中 알리바바·텅쉰·왕이·TV 인기프로그램 위장한 피싱 사이트도 기승
중국 내 전자상거래·포털·게임·TV프로그램으로 위장한 피싱 사이트 중에서는 △중국 전자상거래회사 알리바바(Alibaba)를 가장한 http://raquelguzman.com.do/alibaba/alibaba/index.html, http://lunamujer.net/main/images/banners/server-alibaba/index.php?email=hckim, http://aurasis.com/wp-admin/js/login.html, www.winplazstics.com.pt/home
(전자우편 계정과 비밀번호 겨냥) 등이 탐지됐다.

아울러 △텅쉰의 온라인게임을 가장한 http://www.dnffuzhu.net/, http://1575.118fc.com/
(허위 S/W 정보로 계정과 비밀번호 훔침) △텅쉰의 S/W로 속인 http://26qq.cc/ (허위 S/W 정보로 계정과 비밀번호 절취) △중국 TV 노래 프로그램 ‘중국 신가성’ 주관 당첨 정보로 속인 http://qtyehag.com, http://hnsszs.com.cn (허위 당첨 정보로 송금 유도) △허위 온라인 쇼핑 http://www.atsou.net/, www.fxdoctor.cn/
(가짜 쇼핑 정보로 금전 편취) △중국 인터넷 포털 왕이(NetEase) 전자우편을 가장한 http://xgeraaus.com/mail/index.php
(계정과 비밀번호 빼냄) 등이 발견됐다.

▲ 6월 26일~7월 4일 중국내 주요 피싱 웹사이트[자료=루이싱정보기술]


이 회사가 보안 시스템을 써서 조사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 6월 27일 연인원 15만 1,523명, 28일 13만4,253명, 29일 15만 4,254명, 6월 30일~7월 2일 사흘 간 38만 2,321명, 7월 3일 12만 5,481명, 4일 9만 3,513명이었다.

중국에서 트로이목마가 투입된 웹주소는 6월 27일 82만 3,522개, 28일 81만 3,121개, 29일 93만 3,124개로 집계됐다. 6월 30일~7월 2일에는 9만 3,207개로 크게 줄었고, 7월 3일 82만 3,135개로 급증했다가 4일 9만 2,116개로 다시 감소한 것으로 나타났다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.com]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)