‘Trojan.Win32.Autoit.aa’와 ‘worm.Win32.AutoIt.aa’
알리바바·중국이동통신·TV프로그램·Apple·Amazon 등 가장 피싱 사이트 퍼져
[보안뉴스 온기홍=중국 베이징] 중국에서 새 바이러스 ‘Trojan.Win32.Autoit.aa’가 4월 13일까지 70만 6,188대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 밝혔다.
‘Trojan.Win32.Autoit.aa’은 바이러스 파일을 시스템 디렉터리에 파생시키며, 레지스트리 오토런(Autorun) 엔트리를 추가해 임의로 바이러스 유도한다고 이 회사는 밝혔다. 이 바이러스는 또 확장 파티션의 모든 파일들을 삭제하는 한다. 이어 PC 사용자의 로그인 전에 텍스트를 띄워 사용자를 협박해 금품을 강탈하는 수법을 쓴다.
또한 이 바이러스는 시스템에 진입해 대화창을 띄워 사용자를 협박하는데, 사용자가 ‘확인’을 클릭할 경우 PC가 재부팅된다. 이로써 PC 사용자가 큰 불편을 겪게 되는 등, 바이러스의 행위는 매우 악랄하다고 이 회사는 강조했다. ‘Trojan.Win32.Autoit.aa’에 대한 경계 등급은 별 다섯 개 가운데 네 개다.
이와 함께 웜(Worm) 바이러스 ‘worm.Win32.AutoIt.aa’가 지난 23일 현재 중국에서 70만 6,000여대의 PC를 감염시킨 것으로 파악됐다고 이 회사는 밝혔다. 이는 ‘파일 폴더 아이콘’을 띈 바이러스다. 바이러스 안에 ‘AutoIt’ 문구가 있고, 이 때문에 많은 바이러스 S/W는 ‘Worm.Win32.AutoIt’와 같은 이름을 짓는다.
이 바이러스는 USB 메모리 등 저장매체에서 ‘Autorun.inf’를 생성해 자동으로 파일을 실행한다. 그리고 디렉터리 아래 ‘IEXPLOREi.exe’를 겨냥해, USB 메모리의 각 디렉터리에서 파일 폴더 이름과 같은 이름의 ‘EXE’ 파일을 생성한다. 이는 파일 폴더 아이콘이기도 해서, 사용자가 잘 모르고 클릭을 할 수 있다. 이밖에 이 바이러스 안에 ‘비스타(Vista)’를 자동으로 찾는 코드가 있으며, 비스타 OS에서도 감염시킬 수 있다고 이 회사는 설명했다. 이 ‘worm.Win32.AutoIt.aa’의 경계 등급으로는 별 다섯 개 중 네 개가 매겨졌다.
.jpg)
▲ 4월 10일~26일 중국내 주요 PC 바이러스[출처 : 중국 루이싱정보기술]
4월 셋째 주와 넷째 주 일자 별로 중국에서 주목을 받은 대표적인 바이러스를 살펴보면, 20일에는 웜 바이러스 ‘Worm.Win32.Gamarue.w’(연인원 2만 5,546명 신고), 21일~23일 ‘Trojan.Win32.BHO.hdz’(연 5만 1,468명 신고), 24일 ‘Worm.Win32.Gamarue.w’(연 2만 5,5,46명 신고), 25일 ‘Worm.Win32.Gamarue.w’(연 2만 5,838명 신고), 26일 ‘Worm.Script.VBS.Agent.co’(연 2만 8,832명 신고) 등이었다.
웜 바이러스 ‘Worm.Win32.Gamarue.w’은 3일 간 중국에서 널리 퍼져 PC 사용자들을 공격했다. 바이러스는 PC에서 바이러스퇴치 프로그램을 찾아내어 그 실행을 중지시키고, 레지스트리를 수정해 PC 부팅과 함께 자동으로 활동을 개시한다. 또 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키며, 대량의 네트워크 소스를 점용한다. 이에 따라 네트워크 속도가 떨어지는 현상이 일어나게 된다고 이 회사는 밝혔다.
알리바바·중국이동통신·TV프로그램·Paypal·Gmail·Apple·Amazon 가장 피싱 사이트 퍼져
이 회사는 보안 시스템을 써서 4월 10일~16일 한 주 동안 중국에서 26만 3,454개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 달했다. 이어 지난 17일~23일에는 23만2,154개의 피싱 사이트가 발견됐고, 누리꾼 10만 명이 공격을 받은 것으로 확인됐다고 이 회사는 덧붙였다.
피싱 사이트의 공격을 받은 중국 누리꾼 수를 일자 별로 보면, 4월 20일 연인원 2만 1,284명, 주말 휴일이 들었던 21일~23일 사흘 동안엔 5만 7,639명, 24일 2만 1,031명, 25일 2만 531명, 26일 2만 8,755명으로 확인됐다고 이 회사는 밝혔다. 회사가 탐지한 피싱 웹 주소는 20일 6,387개, 21일~23일 1만 3,641개, 24일 6,787개, 25일 6,416개, 26일 9,280개로 집계됐다.
.jpg)
▲ 4월 10일~26일 중국내 주요 피싱 웹사이트[출처: 루이싱정보기술]
중국에서 활개를 친 대표적인 피싱 사이트들을 일자 별로 보면, 먼저 지난 10일~16일 한 주 동안에는 △아마존(Amazon) 사이트를 가장한 http://signin.amazon.co.uk-prime.form-unsuscribe.id-3756.com/id/ △중국 텅쉰(Tencent) 사이트로 속인 http://www.006cf.com/ △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 위장한 http://bingpx.com/html/zz2653.shtml △어도비(Adobe) ID로 속인 http://mizuumiseed.com/adobeonline1/fileadb17/index2.htm △지메일(Gmail)로 위장한 http://d233870.u-telcom.net/peter/fearn/ 이 지목됐다.
지난 17일~23일에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://3dsolutions.tw/ppl/ppl1/2bc3d8/signin.php △중국 TV 오락 프로그램 ‘중국 신가성’ 주간 당첨인 것처럼 속인 http://cbtgf.cc △중국 포털 사이트 왕이(NetEase) 전자우편으로 위장한 http://dhsuwg.com/ △아마존(Amazon) 사이트로 속인 https://cervenka.net/Library/amz/b0da6047f7f87c699606/ △가짜 Gmail류 http://oblast-tv.ru/wp-content/fritz/7a62563652672b491598b347724501b0/ 이 중국을 휩쓴 대표적인 피싱 사이트들로 꼽혔다.
이어 20일~26일 일자 별 대표적인 피싱 사이트들을 보면, 외국계 유명 웹사이트들로 위장한 사이트로는 △온라인 금융결제 사이트 Paypal로 위장한 https://paypal-com-webapps.blogspot.com/, http://3dsolutions.tw/ppl/ppl1/2bc3d8/signin.php, http://www.silsoil.es/fotos/cucharas/7/client_data/websc-login.php, http://webstercontracting.com.au/support/, http://www.guiaenlapampa.com.ar/localidades/Embajador%20Martini/ (메일 계정과 비밀번호 절취) △가짜 Gmail류 http://oblast-tv.ru/wp-content/fritz/7a62563652672b491598b347724501b0/, http://acuraagroup.com/acct/es/, http://4cgemstones.com/polaiowpwwww/GD/index.php (계정과 비밀번호 훔침) △가짜 애플(Apple) ID류 https://www.iclovd.com.apleid-unlocked.plus/ (계정과 비밀번호 훔침) △가짜 어도비(Adobe)류 http://copyprintduplicate.com/lms/index.htm (계정과 비밀번호 빼냄) △가짜 이베이(ebay) http://uk-community.hol.es/Item-not-as-described/ (계정과 비밀번호 빼냄) △아마존(Amazon) 사이트로 속인 https://cervenka.net/Library/amz/b0da6047f7f87c699606/ (계정과 비밀번호 절취) △가짜 야후(Yahoo)류 http://islingtonbloordentist.com/sent/meant/yahoo/ (계정과 비밀번호 빼냄) 등이 꼽혔다.
중국 내 포털·TV프로그램·이동통신회사·온라인게임·은행 관련 대표적인 피싱 사이트로는 △중국 전자상거래 회사 Alibaba로 위장한 http://7ansafer.com/mostafa/offline/chibo/alibaba, http://williamscruz-001-site1.1tempurl.com/app/ (계정과 비밀번호 절취) △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://cbtgf.cc/m9e03a125b8eb4d72865d78418, http://cbtgf.cc, http://zbumbx.com/ (허위 당첨 정보로 송금 유도) △중국판 TV 오락 프로그램 ‘런닝맨’ 주관 당첨으로 속인 http://gx100086.com/ (허위 당첨 정보로 송금 유도) △중국이동통신(China Mobile) 고객서비스 대표 번호를 내세운 http://www.10086wub.com, http://www.hks10086.com (적립 포인트의 현금교환 정보를 미끼로 카드번호와 비밀번호 훔침) △온라인 쇼핑을 가장한 http://8899tao.com/ (허위 쇼핑 정보로 금전 편취) △중국 포털 사이트 왕이(NetEase) 전자우편으로 위장한 http://dhsuwg.com/ (계정과 비밀번호 훔침) △중국 텅쉰의 온라인게임을 가장한 http://www.dnf300.com/ (허위 S/W 정보로 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.snccdes.cc/ (카드번호와 비밀번호 편취) 등이 지목됐다.
이 회사가 보안 시스템을 써서 검사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 4월 20일 연인원 11만 4,315명, 21일~23일 사흘 간 연 34만 2,521명, 24일 연 13만 4,342명, 25일 연 12만 9,411명, 26일 9만 8,485명으로 집계됐다.
중국에서 트로이목마가 투입된 웹주소는 20일 12만 3,457개, 21일~23일 9만 2,207개, 24일 11만 3,454개, 25일 11만 2,378개, 26일에는 크게 줄어든 1,744개로 확인됐다고 이 회사는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
알리바바·중국이동통신·TV프로그램·Apple·Amazon 등 가장 피싱 사이트 퍼져
[보안뉴스 온기홍=중국 베이징] 중국에서 새 바이러스 ‘Trojan.Win32.Autoit.aa’가 4월 13일까지 70만 6,188대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 밝혔다.
‘Trojan.Win32.Autoit.aa’은 바이러스 파일을 시스템 디렉터리에 파생시키며, 레지스트리 오토런(Autorun) 엔트리를 추가해 임의로 바이러스 유도한다고 이 회사는 밝혔다. 이 바이러스는 또 확장 파티션의 모든 파일들을 삭제하는 한다. 이어 PC 사용자의 로그인 전에 텍스트를 띄워 사용자를 협박해 금품을 강탈하는 수법을 쓴다.
또한 이 바이러스는 시스템에 진입해 대화창을 띄워 사용자를 협박하는데, 사용자가 ‘확인’을 클릭할 경우 PC가 재부팅된다. 이로써 PC 사용자가 큰 불편을 겪게 되는 등, 바이러스의 행위는 매우 악랄하다고 이 회사는 강조했다. ‘Trojan.Win32.Autoit.aa’에 대한 경계 등급은 별 다섯 개 가운데 네 개다.
이와 함께 웜(Worm) 바이러스 ‘worm.Win32.AutoIt.aa’가 지난 23일 현재 중국에서 70만 6,000여대의 PC를 감염시킨 것으로 파악됐다고 이 회사는 밝혔다. 이는 ‘파일 폴더 아이콘’을 띈 바이러스다. 바이러스 안에 ‘AutoIt’ 문구가 있고, 이 때문에 많은 바이러스 S/W는 ‘Worm.Win32.AutoIt’와 같은 이름을 짓는다.
이 바이러스는 USB 메모리 등 저장매체에서 ‘Autorun.inf’를 생성해 자동으로 파일을 실행한다. 그리고 디렉터리 아래 ‘IEXPLOREi.exe’를 겨냥해, USB 메모리의 각 디렉터리에서 파일 폴더 이름과 같은 이름의 ‘EXE’ 파일을 생성한다. 이는 파일 폴더 아이콘이기도 해서, 사용자가 잘 모르고 클릭을 할 수 있다. 이밖에 이 바이러스 안에 ‘비스타(Vista)’를 자동으로 찾는 코드가 있으며, 비스타 OS에서도 감염시킬 수 있다고 이 회사는 설명했다. 이 ‘worm.Win32.AutoIt.aa’의 경계 등급으로는 별 다섯 개 중 네 개가 매겨졌다.
▲ 4월 10일~26일 중국내 주요 PC 바이러스[출처 : 중국 루이싱정보기술]
4월 셋째 주와 넷째 주 일자 별로 중국에서 주목을 받은 대표적인 바이러스를 살펴보면, 20일에는 웜 바이러스 ‘Worm.Win32.Gamarue.w’(연인원 2만 5,546명 신고), 21일~23일 ‘Trojan.Win32.BHO.hdz’(연 5만 1,468명 신고), 24일 ‘Worm.Win32.Gamarue.w’(연 2만 5,5,46명 신고), 25일 ‘Worm.Win32.Gamarue.w’(연 2만 5,838명 신고), 26일 ‘Worm.Script.VBS.Agent.co’(연 2만 8,832명 신고) 등이었다.
웜 바이러스 ‘Worm.Win32.Gamarue.w’은 3일 간 중국에서 널리 퍼져 PC 사용자들을 공격했다. 바이러스는 PC에서 바이러스퇴치 프로그램을 찾아내어 그 실행을 중지시키고, 레지스트리를 수정해 PC 부팅과 함께 자동으로 활동을 개시한다. 또 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키며, 대량의 네트워크 소스를 점용한다. 이에 따라 네트워크 속도가 떨어지는 현상이 일어나게 된다고 이 회사는 밝혔다.
알리바바·중국이동통신·TV프로그램·Paypal·Gmail·Apple·Amazon 가장 피싱 사이트 퍼져
이 회사는 보안 시스템을 써서 4월 10일~16일 한 주 동안 중국에서 26만 3,454개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 달했다. 이어 지난 17일~23일에는 23만2,154개의 피싱 사이트가 발견됐고, 누리꾼 10만 명이 공격을 받은 것으로 확인됐다고 이 회사는 덧붙였다.
피싱 사이트의 공격을 받은 중국 누리꾼 수를 일자 별로 보면, 4월 20일 연인원 2만 1,284명, 주말 휴일이 들었던 21일~23일 사흘 동안엔 5만 7,639명, 24일 2만 1,031명, 25일 2만 531명, 26일 2만 8,755명으로 확인됐다고 이 회사는 밝혔다. 회사가 탐지한 피싱 웹 주소는 20일 6,387개, 21일~23일 1만 3,641개, 24일 6,787개, 25일 6,416개, 26일 9,280개로 집계됐다.
▲ 4월 10일~26일 중국내 주요 피싱 웹사이트[출처: 루이싱정보기술]
중국에서 활개를 친 대표적인 피싱 사이트들을 일자 별로 보면, 먼저 지난 10일~16일 한 주 동안에는 △아마존(Amazon) 사이트를 가장한 http://signin.amazon.co.uk-prime.form-unsuscribe.id-3756.com/id/ △중국 텅쉰(Tencent) 사이트로 속인 http://www.006cf.com/ △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 위장한 http://bingpx.com/html/zz2653.shtml △어도비(Adobe) ID로 속인 http://mizuumiseed.com/adobeonline1/fileadb17/index2.htm △지메일(Gmail)로 위장한 http://d233870.u-telcom.net/peter/fearn/ 이 지목됐다.
지난 17일~23일에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://3dsolutions.tw/ppl/ppl1/2bc3d8/signin.php △중국 TV 오락 프로그램 ‘중국 신가성’ 주간 당첨인 것처럼 속인 http://cbtgf.cc △중국 포털 사이트 왕이(NetEase) 전자우편으로 위장한 http://dhsuwg.com/ △아마존(Amazon) 사이트로 속인 https://cervenka.net/Library/amz/b0da6047f7f87c699606/ △가짜 Gmail류 http://oblast-tv.ru/wp-content/fritz/7a62563652672b491598b347724501b0/ 이 중국을 휩쓴 대표적인 피싱 사이트들로 꼽혔다.
이어 20일~26일 일자 별 대표적인 피싱 사이트들을 보면, 외국계 유명 웹사이트들로 위장한 사이트로는 △온라인 금융결제 사이트 Paypal로 위장한 https://paypal-com-webapps.blogspot.com/, http://3dsolutions.tw/ppl/ppl1/2bc3d8/signin.php, http://www.silsoil.es/fotos/cucharas/7/client_data/websc-login.php, http://webstercontracting.com.au/support/, http://www.guiaenlapampa.com.ar/localidades/Embajador%20Martini/ (메일 계정과 비밀번호 절취) △가짜 Gmail류 http://oblast-tv.ru/wp-content/fritz/7a62563652672b491598b347724501b0/, http://acuraagroup.com/acct/es/, http://4cgemstones.com/polaiowpwwww/GD/index.php (계정과 비밀번호 훔침) △가짜 애플(Apple) ID류 https://www.iclovd.com.apleid-unlocked.plus/ (계정과 비밀번호 훔침) △가짜 어도비(Adobe)류 http://copyprintduplicate.com/lms/index.htm (계정과 비밀번호 빼냄) △가짜 이베이(ebay) http://uk-community.hol.es/Item-not-as-described/ (계정과 비밀번호 빼냄) △아마존(Amazon) 사이트로 속인 https://cervenka.net/Library/amz/b0da6047f7f87c699606/ (계정과 비밀번호 절취) △가짜 야후(Yahoo)류 http://islingtonbloordentist.com/sent/meant/yahoo/ (계정과 비밀번호 빼냄) 등이 꼽혔다.
중국 내 포털·TV프로그램·이동통신회사·온라인게임·은행 관련 대표적인 피싱 사이트로는 △중국 전자상거래 회사 Alibaba로 위장한 http://7ansafer.com/mostafa/offline/chibo/alibaba, http://williamscruz-001-site1.1tempurl.com/app/ (계정과 비밀번호 절취) △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://cbtgf.cc/m9e03a125b8eb4d72865d78418, http://cbtgf.cc, http://zbumbx.com/ (허위 당첨 정보로 송금 유도) △중국판 TV 오락 프로그램 ‘런닝맨’ 주관 당첨으로 속인 http://gx100086.com/ (허위 당첨 정보로 송금 유도) △중국이동통신(China Mobile) 고객서비스 대표 번호를 내세운 http://www.10086wub.com, http://www.hks10086.com (적립 포인트의 현금교환 정보를 미끼로 카드번호와 비밀번호 훔침) △온라인 쇼핑을 가장한 http://8899tao.com/ (허위 쇼핑 정보로 금전 편취) △중국 포털 사이트 왕이(NetEase) 전자우편으로 위장한 http://dhsuwg.com/ (계정과 비밀번호 훔침) △중국 텅쉰의 온라인게임을 가장한 http://www.dnf300.com/ (허위 S/W 정보로 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.snccdes.cc/ (카드번호와 비밀번호 편취) 등이 지목됐다.
이 회사가 보안 시스템을 써서 검사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 4월 20일 연인원 11만 4,315명, 21일~23일 사흘 간 연 34만 2,521명, 24일 연 13만 4,342명, 25일 연 12만 9,411명, 26일 9만 8,485명으로 집계됐다.
중국에서 트로이목마가 투입된 웹주소는 20일 12만 3,457개, 21일~23일 9만 2,207개, 24일 11만 3,454개, 25일 11만 2,378개, 26일에는 크게 줄어든 1,744개로 확인됐다고 이 회사는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
