‘Worm.Mail.Win32.Brontok.ik’와 ‘worm.Win32.AutoIt.aa’, PC 공격
텅쉰·알리바바·중국이동통신·Paypal·Gmail·Apple 위장한 피싱 사이트들 기승
[보안뉴스 온기홍= 중국 베이징] 웜(Worm) 바이러스 ‘Worm.Mail.Win32.Brontok.ik’가 5월 4일까지 중국에서 9만 647대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 밝혔다.
중국에서 5월 첫째 주(1일~7일) 주목을 받은 이 웜 바이러스는 전자우편 첨부파일을 이용해 전파를 진행한다. 컴퓨터의 ‘host’ 파일을 수정하고, 사용자가 안티바이러스 프로그램 웹사이트를 방문하지 못하도록 막는다. 또 백그라운드에서 해커가 지정한 파일을 PC에 내려 받고, 다른 바이러스들을 PC에 넣는다. 이 웜 바이러스는 또 사용자의 연락처 리스트에 접근하며, 사용자의 전자우편을 이용해 연락처에 있는 사람들에게 바이러스가 들어 있는 전자우편을 보낸다.
PC가 이 웜 바이러스에 감염되면 사용자의 중요한 정보들이 새어 나가고 인터넷뱅킹 계정과 비밀번호가 도난당할 수 있다. 이 ‘Worm.Mail.Win32.Brontok.ik’에 대한 경계 등급은 별 다섯 개 가운데 세 개다.
또 다른 웜 바이러스 ‘worm.Win32.AutoIt.aa’는 4월 24일~28일 사이 중국에서 5만 1,953대의 PC를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다. 앞서 이 웜 바이러스는 지난달 23일 현재 중국에서 PC 70만 6,000여대를 감염시켰다. 4월 셋째 주(17일~23일)와 마지막 주(24일~30일)를 포함해 2주 연속 중국에서 널리 퍼져 PC 사용자들을 공격했다.
‘worm.Win32.AutoIt.aa’는 파일 폴더 아이콘으로 위장해 PC 사용자를 속여 클릭해 실행하게 만든다. 바이러스 안에 ‘AutoIt’ 문구가 있으며, 이 때문에 많은 바이러스 S/W들이 ‘Worm.Win32.AutoIt’와 같이 명명하는 것으로 드러났다. 이 웜 바이러스는 USB 메모리 등 저장매체에서 ‘Autorun.inf’를 생성해 자동으로 파일을 실행한다.
또한 디렉터리 아래 ‘IEXPLOREi.exe’를 겨냥해 USB 메모리의 각 디렉터리에서 파일 폴더 이름과 같은 이름의 ‘EXE’ 파일을 생성한다. 이는 파일 폴더 아이콘이기도 해서, 사용자가 이를 잘 모르고 클릭할 수 있다. 이 웜 바이러스 안에는 ‘비스타(Vista)’를 자동으로 찾는 코드가 있으며, 비스타 OS에서도 감염시킬 수 있다. 이를 통해 감염 피해를 입은 PC 사용자에게 매우 큰 불편을 초래한다. ‘worm.Win32.AutoIt.aa’의 경계 등급으로는 별 다섯 개 중 네 개가 매겨졌다.
.jpg)
▲ 4월 24일~5월 7일 중국내 주요 PC 바이러스[출처: 중국 루이싱정보기술]
중국에서 4월 마지막 주와 5월 첫째 주에 주목을 받은 대표적인 바이러스를 일자 별로 살펴보면, 먼저 4월 27일에는 ‘Worm.Win32.ECode.fw’(연인원 2만 8,423명 신고), 5월 들어 1일부터 7일까지 7일 연속 ‘Trojan.Win32.BHO.hdz’가 꼽혔다. 이 회사의 보안 시스템을 통해 ‘Trojan.Win32.BHO.hdz’를 신고 PC 사용자 수는 1일 연인원 1만 6,874명, 2일 연 2만 8,037명, 3일 연 1만 4,283명, 4일 연 1만 8,974명, 주말 휴일이 든 5일~7일 연 6만 1,048명을 기록했다.
이 두 바이러스는 컴퓨터에서 안티바이러스 프로그램을 탐색해 실행을 중지시키고, 레지스트리를 수정해 PC 부팅과 함께 자동으로 활동을 시작한다. 또한 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키고, 대량의 네트워크 소스를 점용한다. 이 때문에 네트워크 속도가 떨어지는 현상이 일어나게 된다.
텅쉰·알리바바·중국이동통신·Paypal·Gmail·Apple 위장한 피싱 사이트들 기승
이 회사는 보안 시스템을 써서 4월 마지막 주(24일~30일) 중국에서 28만 2,156개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 달했다. 이어 5월 첫째 주(1일~7일)에는 2만 2,195개의 피싱 사이트가 탐지됐고, 누리꾼 10만 명이 공격을 받은 것으로 확인됐다고 이 회사는 덧붙였다.
중국에서 피싱 사이트의 공격을 받은 누리꾼 수를 일자 별로 보면, 4월 27일 연인원 2만 4,452명, 5월 들어 1일에는 2만 2,755명, 2일 2만 9,432명, 3일 1만 3,423명, 4일 1만 2,443명, 주말 휴일이 들었던 5일~7일 사흘 동안엔 5만 7,632명으로 확인됐다고 이 회사는 밝혔다.
이 회사가 탐지한 피싱 웹 주소는 4월 27일 1만 280개, 5월 1일 9,180개, 2일 1만 2,280개, 3일 9,183개, 4일 8,723개, 5일~7일 1만 2,681개로 파악됐다.
.jpg)
▲ 4월 24일~5월 7일 중국내 주요 피싱 웹사이트[출처: 중국 루이싱정보기술]
중국에서 활개를 친 대표적인 피싱 사이트들을 보면, 4월 마지막 주(24일~30일)에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://ispytank.com/PayPal/loginsubmit.htm △가짜 애플(Apple) ID류 http://buscar.cloud/apple/ △텅쉰(Tencent)의 온라인게임으로 위장한 http://dnf.520fzz.com/ △중국건설은행을 사칭한 http://wap.ccbcbc.com △가짜 지메일(Gmail)류 http://pricehenaveld.com/ 이 꼽혔다.
5월 첫째 주(1일~7일) 중국에서 활개를 친 대표적인 피싱 사이트들은 △포털 사이트 왕이(NetEase)로 속인 http://morfeinaos.com/mtm/ △중국 전자상거래 회사 알리바바(Alibaba)로 위장한 http://fatfrrzrm.com/NEW/a9f7d858145f4b29e5df199470eb4493/ △온라인 쇼핑으로 속인 http://guzhitelighting.cn/ △가짜 Paypal 사이트 http://festivalbecause.org/boks/rap/olsag/ △가짜 Gmail류 http://goldenliquor.com/mtdocss/index.php 등이었다.
일자 별로 대표적인 피싱 사이트들을 살펴보면, 외국계 유명 웹사이트를 사칭한 사이트로 △가짜 Paypal류 http://updatepplsecureinfo.blogsyte.com/pplprofile/, http://ispytank.com/PayPal/loginsubmit.htm, https://paypal-paypalsurviice.c9users.io/wp-content/uploads/2017/05/index.html, http://festivalbecause.org/boks/rap/olsag/, https://supremehosting.co.nz/client/ioncube/Update/(계정과 비밀번호 훔침) △가짜 Gmail류 www.auburninternet.com/dropbox/dropbox/index.php, http://pricehenaveld.com/, http://eventhire4u.com/parosky/741a2e263334a9829c736ebbd61d7ca9, http://goldenliquor.com/mtdocss/index.php, http://chemicc.com/data1/cd/index.php (전자우편 계정과 비밀번호 절취) △가짜 Apple ID류 www.cocolisoresort.com/css/default/en.php?/IDMSWebAuth/login.html, http://buscar.cloud/apple/, http://my.hostforblog.com/confirmation/card.php (계정과 비밀번호 빼냄) △가짜 Facebook류 http://mi-multimedia.xyz/app/, http://m.login-secured.liraon.com/sign_in.htm (계정과 비밀번호 빼냄) △가짜 야후(Yahoo)류 http://portalemesos.it/skin/install/default/ (전자우편 계정과 비밀번호 훔침) 등이 꼽혔다.
중국 내 유명 웹사이트를 겨냥한 피싱 사이트들로는 △텅쉰(Tencent) 사이트로 속인 www.bgrlvx.cn (계정과 비밀번호 빼냄) △텅쉰의 온라인게임으로 속인 http://dnf.520fzz.com/, http://www.feiji520.com/, www.130dnf.com/page.asp?id=5, http://www.feiji520.com/ (허위 S/W 정보로 계정과 비밀번호 훔침) △중국이동통신(China Mobile) 고객서비스 대표 번호를 내세운 http://www.hah10086.com, http://hb.10086vb.cn (적립 포인트의 현금교환을 미끼로 카드 번호와 비밀번호 절취) △중국건설은행을 사칭한 http://wap.ccbcbc.com (카드번호와 비밀번호 훔침) △중국 전자상거래 회사 알리바바(Alibaba)를 가장한 http://whinging-pom.com/alibaba/alibaba/index.php, http://fatfrrzrm.com/NEW/a9f7d858145f4b29e5df199470eb4493/ (계정과 비밀번호 절취) △중국 인기 TV 프로그램 ‘중국 신가성’ 주관 당첨을 미끼로 한 http://bzesy.cc, www.qcyspx.com (허위 당첨 정보로 송금 유도) △중국 포털 사이트 왕이(NetEase) 전자우편을 가장한 http://morfeinaos.com/mtm/ (계정과 비밀번호 훔침)
△온라인 쇼핑으로 속인 http://guzhitelighting.cn/ (허위 쇼핑 정보로 금전 편취) 등이 기승을 부렸다.
이 회사가 보안 시스템을 써서 조사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 4월 27일 연인원 9만 8,489명, 5월 1일 9만 8,485명, 2일 9만 1,483명, 3일 15만 3,241명, 4일 13만 2,271명, 주말 휴일이 든 5일~7일 사흘 간 연 29만 2,423명에 달했다.
중국에서 트로이목마가 투입된 웹 주소는 4월 27일 1,894개, 5월 1일 1,243개, 2일 2,194개, 3일에는 81만 3,131개로 폭증했고, 4일 79만 8,123개, 5일~7일에는 감소세로 돌아서 9만 1,207개로 확인됐다고 이 회사는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
텅쉰·알리바바·중국이동통신·Paypal·Gmail·Apple 위장한 피싱 사이트들 기승
[보안뉴스 온기홍= 중국 베이징] 웜(Worm) 바이러스 ‘Worm.Mail.Win32.Brontok.ik’가 5월 4일까지 중국에서 9만 647대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체인 루이싱정보기술은 밝혔다.
중국에서 5월 첫째 주(1일~7일) 주목을 받은 이 웜 바이러스는 전자우편 첨부파일을 이용해 전파를 진행한다. 컴퓨터의 ‘host’ 파일을 수정하고, 사용자가 안티바이러스 프로그램 웹사이트를 방문하지 못하도록 막는다. 또 백그라운드에서 해커가 지정한 파일을 PC에 내려 받고, 다른 바이러스들을 PC에 넣는다. 이 웜 바이러스는 또 사용자의 연락처 리스트에 접근하며, 사용자의 전자우편을 이용해 연락처에 있는 사람들에게 바이러스가 들어 있는 전자우편을 보낸다.
PC가 이 웜 바이러스에 감염되면 사용자의 중요한 정보들이 새어 나가고 인터넷뱅킹 계정과 비밀번호가 도난당할 수 있다. 이 ‘Worm.Mail.Win32.Brontok.ik’에 대한 경계 등급은 별 다섯 개 가운데 세 개다.
또 다른 웜 바이러스 ‘worm.Win32.AutoIt.aa’는 4월 24일~28일 사이 중국에서 5만 1,953대의 PC를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다. 앞서 이 웜 바이러스는 지난달 23일 현재 중국에서 PC 70만 6,000여대를 감염시켰다. 4월 셋째 주(17일~23일)와 마지막 주(24일~30일)를 포함해 2주 연속 중국에서 널리 퍼져 PC 사용자들을 공격했다.
‘worm.Win32.AutoIt.aa’는 파일 폴더 아이콘으로 위장해 PC 사용자를 속여 클릭해 실행하게 만든다. 바이러스 안에 ‘AutoIt’ 문구가 있으며, 이 때문에 많은 바이러스 S/W들이 ‘Worm.Win32.AutoIt’와 같이 명명하는 것으로 드러났다. 이 웜 바이러스는 USB 메모리 등 저장매체에서 ‘Autorun.inf’를 생성해 자동으로 파일을 실행한다.
또한 디렉터리 아래 ‘IEXPLOREi.exe’를 겨냥해 USB 메모리의 각 디렉터리에서 파일 폴더 이름과 같은 이름의 ‘EXE’ 파일을 생성한다. 이는 파일 폴더 아이콘이기도 해서, 사용자가 이를 잘 모르고 클릭할 수 있다. 이 웜 바이러스 안에는 ‘비스타(Vista)’를 자동으로 찾는 코드가 있으며, 비스타 OS에서도 감염시킬 수 있다. 이를 통해 감염 피해를 입은 PC 사용자에게 매우 큰 불편을 초래한다. ‘worm.Win32.AutoIt.aa’의 경계 등급으로는 별 다섯 개 중 네 개가 매겨졌다.
▲ 4월 24일~5월 7일 중국내 주요 PC 바이러스[출처: 중국 루이싱정보기술]
중국에서 4월 마지막 주와 5월 첫째 주에 주목을 받은 대표적인 바이러스를 일자 별로 살펴보면, 먼저 4월 27일에는 ‘Worm.Win32.ECode.fw’(연인원 2만 8,423명 신고), 5월 들어 1일부터 7일까지 7일 연속 ‘Trojan.Win32.BHO.hdz’가 꼽혔다. 이 회사의 보안 시스템을 통해 ‘Trojan.Win32.BHO.hdz’를 신고 PC 사용자 수는 1일 연인원 1만 6,874명, 2일 연 2만 8,037명, 3일 연 1만 4,283명, 4일 연 1만 8,974명, 주말 휴일이 든 5일~7일 연 6만 1,048명을 기록했다.
이 두 바이러스는 컴퓨터에서 안티바이러스 프로그램을 탐색해 실행을 중지시키고, 레지스트리를 수정해 PC 부팅과 함께 자동으로 활동을 시작한다. 또한 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키고, 대량의 네트워크 소스를 점용한다. 이 때문에 네트워크 속도가 떨어지는 현상이 일어나게 된다.
텅쉰·알리바바·중국이동통신·Paypal·Gmail·Apple 위장한 피싱 사이트들 기승
이 회사는 보안 시스템을 써서 4월 마지막 주(24일~30일) 중국에서 28만 2,156개의 피싱 사이트를 찾아냈다고 밝혔다. 이 기간 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명에 달했다. 이어 5월 첫째 주(1일~7일)에는 2만 2,195개의 피싱 사이트가 탐지됐고, 누리꾼 10만 명이 공격을 받은 것으로 확인됐다고 이 회사는 덧붙였다.
중국에서 피싱 사이트의 공격을 받은 누리꾼 수를 일자 별로 보면, 4월 27일 연인원 2만 4,452명, 5월 들어 1일에는 2만 2,755명, 2일 2만 9,432명, 3일 1만 3,423명, 4일 1만 2,443명, 주말 휴일이 들었던 5일~7일 사흘 동안엔 5만 7,632명으로 확인됐다고 이 회사는 밝혔다.
이 회사가 탐지한 피싱 웹 주소는 4월 27일 1만 280개, 5월 1일 9,180개, 2일 1만 2,280개, 3일 9,183개, 4일 8,723개, 5일~7일 1만 2,681개로 파악됐다.
▲ 4월 24일~5월 7일 중국내 주요 피싱 웹사이트[출처: 중국 루이싱정보기술]
중국에서 활개를 친 대표적인 피싱 사이트들을 보면, 4월 마지막 주(24일~30일)에는 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://ispytank.com/PayPal/loginsubmit.htm △가짜 애플(Apple) ID류 http://buscar.cloud/apple/ △텅쉰(Tencent)의 온라인게임으로 위장한 http://dnf.520fzz.com/ △중국건설은행을 사칭한 http://wap.ccbcbc.com △가짜 지메일(Gmail)류 http://pricehenaveld.com/ 이 꼽혔다.
5월 첫째 주(1일~7일) 중국에서 활개를 친 대표적인 피싱 사이트들은 △포털 사이트 왕이(NetEase)로 속인 http://morfeinaos.com/mtm/ △중국 전자상거래 회사 알리바바(Alibaba)로 위장한 http://fatfrrzrm.com/NEW/a9f7d858145f4b29e5df199470eb4493/ △온라인 쇼핑으로 속인 http://guzhitelighting.cn/ △가짜 Paypal 사이트 http://festivalbecause.org/boks/rap/olsag/ △가짜 Gmail류 http://goldenliquor.com/mtdocss/index.php 등이었다.
일자 별로 대표적인 피싱 사이트들을 살펴보면, 외국계 유명 웹사이트를 사칭한 사이트로 △가짜 Paypal류 http://updatepplsecureinfo.blogsyte.com/pplprofile/, http://ispytank.com/PayPal/loginsubmit.htm, https://paypal-paypalsurviice.c9users.io/wp-content/uploads/2017/05/index.html, http://festivalbecause.org/boks/rap/olsag/, https://supremehosting.co.nz/client/ioncube/Update/(계정과 비밀번호 훔침) △가짜 Gmail류 www.auburninternet.com/dropbox/dropbox/index.php, http://pricehenaveld.com/, http://eventhire4u.com/parosky/741a2e263334a9829c736ebbd61d7ca9, http://goldenliquor.com/mtdocss/index.php, http://chemicc.com/data1/cd/index.php (전자우편 계정과 비밀번호 절취) △가짜 Apple ID류 www.cocolisoresort.com/css/default/en.php?/IDMSWebAuth/login.html, http://buscar.cloud/apple/, http://my.hostforblog.com/confirmation/card.php (계정과 비밀번호 빼냄) △가짜 Facebook류 http://mi-multimedia.xyz/app/, http://m.login-secured.liraon.com/sign_in.htm (계정과 비밀번호 빼냄) △가짜 야후(Yahoo)류 http://portalemesos.it/skin/install/default/ (전자우편 계정과 비밀번호 훔침) 등이 꼽혔다.
중국 내 유명 웹사이트를 겨냥한 피싱 사이트들로는 △텅쉰(Tencent) 사이트로 속인 www.bgrlvx.cn (계정과 비밀번호 빼냄) △텅쉰의 온라인게임으로 속인 http://dnf.520fzz.com/, http://www.feiji520.com/, www.130dnf.com/page.asp?id=5, http://www.feiji520.com/ (허위 S/W 정보로 계정과 비밀번호 훔침) △중국이동통신(China Mobile) 고객서비스 대표 번호를 내세운 http://www.hah10086.com, http://hb.10086vb.cn (적립 포인트의 현금교환을 미끼로 카드 번호와 비밀번호 절취) △중국건설은행을 사칭한 http://wap.ccbcbc.com (카드번호와 비밀번호 훔침) △중국 전자상거래 회사 알리바바(Alibaba)를 가장한 http://whinging-pom.com/alibaba/alibaba/index.php, http://fatfrrzrm.com/NEW/a9f7d858145f4b29e5df199470eb4493/ (계정과 비밀번호 절취) △중국 인기 TV 프로그램 ‘중국 신가성’ 주관 당첨을 미끼로 한 http://bzesy.cc, www.qcyspx.com (허위 당첨 정보로 송금 유도) △중국 포털 사이트 왕이(NetEase) 전자우편을 가장한 http://morfeinaos.com/mtm/ (계정과 비밀번호 훔침)
△온라인 쇼핑으로 속인 http://guzhitelighting.cn/ (허위 쇼핑 정보로 금전 편취) 등이 기승을 부렸다.
이 회사가 보안 시스템을 써서 조사하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 4월 27일 연인원 9만 8,489명, 5월 1일 9만 8,485명, 2일 9만 1,483명, 3일 15만 3,241명, 4일 13만 2,271명, 주말 휴일이 든 5일~7일 사흘 간 연 29만 2,423명에 달했다.
중국에서 트로이목마가 투입된 웹 주소는 4월 27일 1,894개, 5월 1일 1,243개, 2일 2,194개, 3일에는 81만 3,131개로 폭증했고, 4일 79만 8,123개, 5일~7일에는 감소세로 돌아서 9만 1,207개로 확인됐다고 이 회사는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
