컴퓨터 파일 폴더로 위장, 중요 정보 훔치는 웜바이러스 발견!

[보안뉴스 온기홍=중국 베이징] 중국에서 9월 둘째 주 3만개의 피싱 사이트가 12만명에 가까운 중국 누리꾼을 공격한 것으로 나타났다. 또 이 기간 파일 폴더 아이콘으로 위장해 컴퓨터 사용자의 개인정보와 인터넷뱅킹 비밀번호 등을 해커에 보내는 ‘VobfusEx’란 이름의 웜(Worm) 바이러스 등이 피해를 입혀 주목을 받았다.

中 9월 8일~14일 주요 컴퓨터 바이러스
중국 정보보안회사인 루이싱은 19일 내놓은 ‘주간 바이러스와 보안 추세’ 보고에서 자사 ‘클라우드 보안’ 시스템의 조사를 바탕으로 9월 8일~14일 중국에서 주목을 받은 바이러스 가운데 하나는 ‘Worm.Win32.VobfusEx.e’였다고 밝혔다.

이 웜 바이러스는 컴퓨터 파일 폴더 아이콘으로 위장해 사용자를 속여 클릭하게 한다. 이어 시스템 디렉토리 아래 여러 파일들을 만들고, ‘System32’ 파일 아래 스스로 복제를 해서 이름을 ‘system3_.exe’로 바꾼다.

또한 이 웜바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 실행하도록 하고, 여러 디스크의 루트 디렉터리 아래 자아 복제를 한다. 이 ‘VobfusEx’ 바이러스는 컴퓨터 사용자의 민감한 정보들을 수집해서 해커가 지정한 웹 주소로 보낸다.

컴퓨터가 이 ‘VobfusEx’에 감염되면, 프라이버시 정보 유출과 인터넷 뱅킹 비밀번호 도난, 컴퓨터가 해커의 통제를 받는 위험에 처하게 된다.
▲ 중국 정보보안회사 루이싱이 지난 9월 8일~14일 탐지한 주요 컴퓨터 바이러스
이 기간 동안 일별 주요 바이러스 발생 상황을 보면, 지난 9일 가장 유행한 바이러스에는 ‘Dropper.Win32.Farfli.a’가 뽑혔다. 루이싱은 이 감염형 Win32 바이러스에 대해 연 2만4,678명으로부터 신고를 받았다고 밝혔다.

이 ‘Dropper.Win32.Farfli.a’ 바이러스는 실행 후 시스템 파일을 파괴하고 루트킷(RootKit) 드라이버에 연결한다. 또 TCP 포트를 통해 해커가 지정한 웹주소에 연결해, 더욱 많은 바이러스 파일을 컴퓨터에 내려 받고 컴퓨터내 모든 정보를 해커에 보낸다. 이 바이러스에 감염된 컴퓨터는 디도스 공격과 통제를 받게 되는 것으로 드러났다.

9월 10일 가장 활개를 친 바이러스로는 ‘Dropper.Win32.Drslty.a’이 지목됐다. 누리꾼 연 2만4,376명이 이 감염형 바이러스를 신고했다. 이 바이러스는 자아복제를 하고 레지스트리에 추가해 컴퓨터가 켜지면 자동으로 실행된다. 동시에 홈페이지를 수정하고, 디스크에 접근해 exe, dll, htm 확장자를 가진 모든 파일을 감염시킴으로써 더욱 많은 악성 행위를 저지른다고 루이싱은 밝혔다.

지난 11일 중국 내륙에서 가장 널리 퍼진 바이러스 가운데 하나는 ‘Backdoor.IRC.Boter.a’였다. 루이싱의 ‘클라우드 보안’ 시스템은 연 2만4,199명의 누리꾼들로부터 신고를 받았다.

이 백도어 바이러스는 컴퓨터 사용자의 계정, 비밀번호, 브라우저 버전 등을 기록하며, http 프로토콜의 네트워크에 대한 디도스 공격 유발과 함께, 키워드로 컴퓨터에 열린 웹 페이지를 모니터링·감염 시킴으로써 스팸 메시지들을 발송한다. 동시에 컴퓨터가 방문하고 있는 웹사이트와 IP주소 외에, 컴퓨터의 IP 주소 등 정보를 빼내 해커가 지정한 웹주소로 보내는 것으로 드러났다.

지난 12~14일 주말 사흘 동안 중국에서 유행한 바이러스는 ‘Worm.Win32.TaopuLS.b’였다. 루이싱의 ‘클라우드 보안’ 시스템은 이 기간 연 2만5,746명의 누리꾼들로부터 ‘Worm.Win32.TaopuLS.b’ 바이러스에 대한 신고를 받았다.

이 웜 바이러스는 새 파일을 만들고 숨김 속성으로 설정한다. 동시에 일정한 시간마다 이동 디스크 상에 자아 복제를 하며, 파일 폴더로 위장해 사용자가 클릭하게 한다. 또 네트워크 중의 공유 정보를 검사하며, 다른 컴퓨터를 방문해 스스로 복제를 시도한다.

이 ‘Worm.Win32.TaopuLS.b’ 바이러스는 디스크 파일을 검색해 메일 주소를 취득한 다음, 음란 사이트 주소를 미끼로 해서 단체 메일을 보내어 다른 컴퓨터를 전염을 시킨다고 루이싱은 밝혔다.

中 9월 8일~14일 피싱 사이트 ‘TOP 5’루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 9월 8~14일 29,999개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전에 비해 약 1,100개 줄었다. 이들 피싱 사이트로부터 공격을 받은 중국 누리꾼 수는 연인원 12만명으로, 1만명 줄었다.


▲ 중국 정보보안회사 루이싱이 지난 9월 8일~14일 탐지한 주요 피싱 사이트


지난 9월 8~14일 위험도 면에서 주목을 받은 피싱 사이트로는 △인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’를 가장한 http://gxyq.cc/ △중국 최대 온라인 쇼핑몰 타오바오(Taobao)로 위장한 http://losujdqian.gkgbeu.com/ △가짜 의약류 http://www.10fenli.com/999/ 등이 꼽혔다.

이들 피싱 사이트는 바이러스나 트로이목마를 갖고 있으며 누리꾼의 인터넷뱅킹 계정·비밀번호와 개인정보를 빼낼 수 있기 때문에 클릭해서는 안 된다고 정보보안업계는 당부했다.

일별 피싱 사이트 발생 상황을 살펴 보면, 지난 9일 하루 동안 중국 내륙에서 연 2만2,079명의 누리꾼이 웹페이지 삽입 트로이목마로부터 공격을 당했다. 루이싱 쪽은 1만994개의 트로이목마 삽입 웹페이지를 찾아냈다. 연 1만8,103명의 누리꾼이 피싱 사이트의 공격을 받았다. 루이싱은 5,276개의 피싱 웹주소를 탐지했다고 밝혔다.

지난 9일 피싱 사이트 ‘Top5’를 보면, △가짜 ‘보이스 오브 차이나’류 www.szuwhh.com(가짜 당첨 정보로 사용자를 속여 송금 유도) △가짜 중국공상은행류 www.icbc562w.pw/icbc/index.htm(사용자 은행카드 계정과 비밀번호 정보 편취) △가짜 TV 오락 프로그램 ‘아빠 어디가’류 http://bbbqerqq.com(가짜 당첨 정보로 사용자를 속여 송금토록 함) △가짜 ‘타오바오’류 http://zhangtiannihao.09.wm4p.com/Login.asp(사용자 은행카드 계정과 비밀번호 정보 편취) △가짜 의약류 www.zgzjwk.tk/lbfzt(허위 의약 정보로 사용자의 금전을 편취) 등이었다.

지난 10일에는 연 1만9,991명의 누리꾼이 웹페이지내 트로이목마의 공격을 받았다. 루이싱이 탐지한 트로이목마 삽입 웹페이지는 9,644개였다. 연 1만5,407명의 누리꾼이 피싱 사이트의 공격을 받다. 루이싱이 발견한 피싱 웹주소는 4,590개였다.

루이싱이 선정한 10일 피싱 사이트 Top5는 △가짜 보이스 오브 차이나류 http://syxtwg.cc △가짜 중국공상은행류 www.zrzww.com/up.asp △가짜 ‘아빠 어디가’류 http://htznbb.com △중국 유명 온라인 지불사이트 즈푸바오(Alipay)로 위장한 http://gfsdgf.muiore.com/yu/a1.asp(사용자 카드 번호와 비밀번호 정보 편취) △가짜 의약류 피싱 사이트 http://www.gdzqsz.com/sh/ 순이었다.

지난 11일에는 연 1만9,282명의 누리꾼이 웹페이지 침입 트로이목마의 공격을 받았다. 루이싱의 ‘클라우드 보안’ 시스템은 이날 트로이목마가 내장된 웹페이지 1만635개를 찾아냈다. 연 1만4,587명의 누리꾼이 피싱 사이트 공격을 받았다. 루이싱 쪽은 4,423개의 피싱 웹주소를 탐지했다.

9월 11일 당일 피싱 사이트 ‘Top5’에는 △가짜 ‘보이스 오브 차이나’류 피싱 사이트 www.hsyknd.com/ △가짜 중국공상은행 http://ikuqd.com/ △가짜 ‘아빠 어디가’류 http://www.urcxz.cc △가짜 ‘타오바오’ 당첨류 http://htcapbw.com/와 http://www.yccl.znsbz.com 이었다.

주말이었던 12~14일, 사흘 동안에는 연인원 6만5,5,00명의 누리꾼이 웹페이지 삽입 트로이목마의 공격을 받았다. 또 루이싱은 3만3,308개의 트로이목마 삽입 웹페이지를 찾아냈다고 밝혔다. 연 4만6,411명의 누리꾼이 12~14일 피싱 사이트 공격을 받았다. 루이싱이 탐지한 피싱 사이트 웹 주소는 1만2,150개였다.

루이싱이 뽑은 12~14일 피싱 사이트 ‘Top5’에는 △보이스 오브 차이나 http://zjmvl.com △가짜 중국공상은행류 피싱 사이트 http://icbcc95588.com/ △가짜 ‘아빠 어디가’류 피싱 사이트 http://bbkee.cc/ △가짜 ‘즈푸바오(Alipay)류 피싱 사이트 http://www.ffkj.us/b1.asp △가짜 ‘파이파이 쇼핑’류 피싱 사이트 http://208.98.25.227/ (사용자 계정과 비밀번호 정보 편취) 등이 포함됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>