유명 메신저 ‘QQ’ 위장해 계정·비밀번호 훔치는 바이러스 활개
피싱사이트 규모와 피해자수 감소

[보안뉴스 온기홍= 중국 베이징] 중국에서 10월 셋째주 약 2만 2,800개의 피싱사이트가 탐지됐으며, 누리꾼 10만명이 피싱 사이트로부터 공격을 받은 것으로 드러났다. 지난 주에는 또 중국 최대 온라인 메신저 ‘QQ’로 위장해 컴퓨터 이용자를 속여 인터넷 계정과 비밀번호를 훔치는 트로이목마 바이러스 등이 활개를 쳤다.

中 10월 셋째주 컴퓨터 바이러스 ‘Top 10’
중국 정보보안 전문회사인 루이싱은 자체 ‘클라우드 보안’ 시스템이 10월 13일부터 19일까지 찾아낸 중국 내 컴퓨터 바이러스 가운데 차단비율을 기준으로 ‘Top10’을 뽑아 발표했다.

이들 컴퓨터 바이러스 Top10는 △Hack.Exploit.Script.JS.Bucode △ Trojan.Win32.FakeUsp △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.FakeIELnk △Trojan.Win32.ACAD △Worm.Win32.Autorun △Worm.Script.VBS.Autorun 순으로 나타났다.



▲ 중국 정보보안 회사인 루이싱이 차단 횟수 기준으로 뽑은
‘10월 13일~19일 중국내 컴퓨터 바이러스 Top10’
지난 주 상위 10위내 컴퓨터 바이러스 가운데 1, 2위 간에 자리 바꿈이 일어났다. 3, 4, 5, 6위 바이러스들은 순위 변동이 없었다. 또 ‘Trojan.FakeIELnk’는 9위에서 7위로 올랐고, 8, 9, 10위는 지난 주 10위 안에 처음 들어갔다.

中 셋째주 주요 컴퓨터 바이러스와 특징
특히 10월 셋째 주 중국에서 널리 퍼져 주목을 받은 바이러스 가운데 하나는 ‘Trojan.PSW.QQPass!47FC’ 였다.

이 바이러스는 중국 최대 토종 온라인 메신저 프로그램인 ‘QQ’를 사칭해 ‘QQ슈아주안지.EXE’ 라는 이름을 내걸고 누리꾼들이 클릭해 컴퓨터에 내려 받도록 유인하는 것으로 밝혀졌다.

이어 로그인을 이유로 누리꾼이 계정과 비밀번호를 입력하게 한다. 이 바이러스는 또 백그라운드에서 해커가 지정한 서버에 연결하고, 사용자 계정 정보 등을 해커가 지정한 웹주소로 보낸다. 컴퓨터가 이 바이러스에 감염되면, 사용자는 ‘QQ’ 계정 등을 도난 당할 위험에 놓이게 된다. 루이싱은 이 바이러스에 대한 경계 정도로 별 다섯 개 가운데 네 개를 매겼다.

지난 주 일별로 중국에서 널리 퍼진 바이러스들을 보면, 먼저 10월 13일에는 ‘Trojan.Win32.Generic.13F6AD21’가 꼽혔다. 연인원 2만 4,607명의 누리꾼이 이 바이러스를 신고했다.

이 바이러스는 ‘dll’를 컴퓨터 C 디스크 루트 디렉터리에 넣고, ‘Svchost.exe’ 실행 프로그램에 영향을 끼친다. 동시에 컴퓨터에서 유명 바이러스 백신 S/W를 찾아내어 실행되지 못하게 닫는다.

이 바이러스는 또 컴퓨터를 해커가 지정해 놓은 웹주소에 연결시킨다. 컴퓨터가 이 바이러스에 감염되면 해커가 의해 전면 제어되며, 사용자의 개인정보와 인터넷뱅킹내 예금, 컴퓨터내 중요 파일 등이 도난당할 수 있다.

지난 14일 중국에서 가장 활개를 친 바이러스 가운데 하나는 ‘Backdoor.Win32.Bai.a’ 였다. 이 바이러스를 신고한 누리꾼은 연 2만4,772명에 달했다.

이 백도어 바이러스는 컴퓨터 C 디스크의 ‘Program Files’ 아래 바이러스 파일과 같은 이름의 파일 폴더를 만든 다음 이 안에 복사를 하고 기존 파일을 삭제한다. 동시에 시스템의 원격 제어 기능을 열어, 해커에게 컴퓨터의 모든 권한을 개방한다. 이로써 해커는 맘대로 컴퓨터내 데이터들을 훑어보고 복사·수정할 수 있다. 이 바이러스는 또 원격으로 동영상 기기를 열어 동영상 녹화를 진행해 사용자의 프라이버시 안전을 위협한다.

지난 15일 중국에서 널리 퍼진 바이러스 가운데 하나는 ‘Trojan.Script.BAT.StartPage.fp’ 였다. 누리꾼 연 2만4,705명이 이 바이러스를 신고했다. 이 백도어 바이러스는 컴퓨터 바탕화면에 기존의 IE 아이콘과 똑 같은 아이콘을 생성한다.

컴퓨터 사용자가 이 가짜 IE 아이콘을 클릭하면 바로 해커가 지정해 놓은 웹사이트를 방문하게 된다. 이 바이러스는 브라우저의 검색 엔진과 여러 브라우저 SW에 영향을 끼치면서 웹사이트 클릭률을 높이는 목적을 달성한다. 또 백그라운드에서 다른 맬웨어 들을 컴퓨터에 내려 받아 설치한다.

10월 16일 중국에서 활개를 친 바이러스 가운데 하나는 ‘Trojan.Script.BAT.Agent.em’ 였다. 누리꾼 연 2만 5,139명이 신고했다. 이 바이러스는 윈도우(Windows) OS의 보안성을 떨어뜨려 해커가 IPC를 통해 감염된 OS에 들어오게 한다.

이어 방화벽 같은 서비스를 맘대로 정지시키고 디스크 공유를 실행시킨다. 이 바이러스는 또 다른 바이러스 내용에 따라 관리자 계정을 늘림으로써 최종적으로 컴퓨터의 보안성을 떨어뜨리고, 해커가 관리자 권한을 얻어 보다 더 악의적 조작을 할 수 있게 한다.

지난 17~19일까지 주말 사흘 동안 중국에서 가장 유행한 트로이목마 바이러스로는 ‘Trojan.Win32.KillAV.csw’가 지목됐다. 이 바이러스를 신고한 누리꾼은 연 2만4,313명이었다. 이 바이러스는 커널을 통해 데이터에 접근하고 중요한 제어 함수를 수정한다.

이어 컴퓨터내 바이러스 퇴치 S/W의 감시 제어 기능을 마비시키고, 악성 프로그램 투입을 통해 악성코드를 자원관리기의 프로그램 안에 넣는다. 이 바이러스는 또 백그라운드에서 악성 SW를 내려 받으며, 컴퓨터를 원격 서버에 연결시키고 해커의 후속 명령을 기다린다. 컴퓨터가 이 바이러스에 감염되면, 하드 디스크에 있는 데이터를 잃어버릴 수 있고 중요한 정보들을 도난당할 수 있다.


▲ 10월 셋째 주(13일~19일) 중국에서 널리 퍼진 컴퓨터 바이러스(출처:중국 루이싱)中 10월 셋째 주 주요 피싱사이트
루이싱은 자사 ‘클라우드 보안’ 시스템이 13일부터 19일까지 2만 2,763개의 피싱 사이트를 탐지했다고 밝혔다. 한 주전 보다 약 8,200개 줄었다. 지난주 중국에서 피싱 사이트들로부터 공격을 받은 누리꾼은 연인원 10만 명으로 파악됐다. 한 주전에 비해 2만 명 감소했다.

이와 함께 10월 둘째 주에서도 대형 은행과 유명 인터넷 쇼핑몰, 인기 TV 프로그램, 인기 제품 등을 사칭해 누리꾼들을 속여 금전과 인터넷 계정·비밀번호를 훔치는 피싱사이트들이 활개를 쳤다.

지난 주 전체로는 △중국판 TV 오락 프로그램인 ‘아빠 어디가’류 피싱 사이트 http://yixinzn.com △ 중국 유명 인터넷 메신저·게임·포털업체인 텅쉰으로 가장한 http://rymvlxg.com/?AZIQG=95489 △허위 의약류 피싱 사이트 www.315oudifu.com 등이 대표적이었다. 이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있기 때문에 클릭해서는 안된다고 루이싱은 강조했다.

일별 피싱 사이트 발생상황을 보면, 먼저 10월 13일 연인원 1만8,675명의 누리꾼이 웹페이지에 숨은 트로이목마로부터 공격을 당했고, 루이싱 쪽은 8,664개의 트로이목마 삽입 웹주소를 발견했다. 또 이날 연 1만 4,430명의 누리꾼이 피싱 사이트의 공격을 받았으며, 루이싱 쪽이 발견한 피싱 웹주소는 4,300개에 달했다.

루이싱이 뽑은 이날 중국내 피싱 사이트 ‘Top5’는 △중국판 ‘아빠 어디가’류 www.ak-83xkan.org(허위 당첨 정보로 사용자를 속여 송금 유도) △중국 최대 온라인 쇼핑몰 타오바오(Taobao)를 사칭한 http://dingdan.ocwdcvw.com(사용자의 계정과 비밀번호 정보 훔침) △허위 의약류 www.vip1.megou999.com/chula(허위 의약정보로 사용자에게 송금 유도) △가짜 온라인 구매류 http://c9.highbor.com.cn/index.html (허위 구매 정보로 사용자에게 송금 유도) △가짜 중국공상은행류 www.ybh2010.com(사용자의 카드 계정과 비밀번호 정보 훔침) 등으로 나타났다.


이어 지난 14일에는 누리꾼 연 1만 8,787명이 웹페이지에 삽입된 트로이목마로부터 피해를 입었다. 루이싱 쪽은 9,238개의 트로이목마 삽입 웹페이지를 찾아냈다. 또한 연 1만 7,010명이 피싱 사이트로부터 공격을 받았고 루이싱은 5,216개의 피싱 웹주소를 발견했다.

이날 피싱 사이트 ‘Top5’에는 △TV 프로그램 ‘아빠 어디가’를 사칭한 www.71mail.com.cn/js △중국 최대 온라인 금전 결제 사이트 즈푸바오로 가장한 http://aky.k7w.org/apay(사용자의 계정과 비밀번호 정보 훔침) △허의 의약류 wwvv.suxiying.com.cn/ZT/flg △허위 구매류 http://rfqgr.tfrdg.xyz △중국공상은행을 사칭한 http://lubudong.com 등이 꼽혔다.

10월 15일에는 누리꾼 연 1만 8,419명이 웹페이지에 들어간 트로이목마로부터 공격을 받았고 루이싱 쪽은 1만 1,179개의 트로이목마 삽입 웹주소를 탐지했다. 아울러 연 1만 3,537명의 누리꾼이 피싱사이트의 공격을 받았고 루이싱이 찾아낸 피싱 웹주소는 4,732개에 달했다.

지난 15일 피싱 사이트 ‘Top5’에는 △인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’를 위장한 www.zhnzhnguoguo.com(허위 당첨 정보로 사용자를 속여 송금 유도) △쇼핑몰 타오바오로 가장한 http://rilctsi.com/2.htm △허위 의약류 http://hj.ttaie.com/ △허위 구매류 http://lanhew.gtaoji.com/product/5s.php?sid=5 △중국건설은행을 사칭한 http://www.111183r.tk/pay/jian/ 등이 포함됐다.

10월 16일에는 중국에서 연 2만 507명이 웹페이지 삽입 트로이목마의 공격을 경험했고 루이싱은 1만237개의 트로이목마 삽입 웹주소를 발견했다. 또 연 1만 7,783명이 피싱사이트에 결려 들었고, 루이싱 쪽은 4,932개의 피싱 웹주소를 찾아냈다.

지난 16일 중국내 피싱 사이트 ‘Top5’는 △허위 PayPal류 http://67.222.130.62/~claracan/imagenes/cambiaimagen/paypal5/cmd/index.php(사용자의 계정과 비밀번호 정보 훔침) △http://mall.johncenamail.com/505799/index.html △허위 의약류 http://jt8.shenyy.net/ △허위 구매류 http://apple.hk-qc.com/ △중국공상은행을 사칭한 http://haoec.com.cn/ICBCINBSReqGrwsyh.asp 이었다.

이어 10월 17일부터 19일까지 주말 사흘 동안엔 연 5만 3,614명의 누리꾼이 웹페이지에 숨은 트로이목마로부터 공격을 받았다. 루이싱 쪽은 모두 2만 7,803개의 트로이목마 삽입 웹페이지를 찾아냈다고 밝혔다. 이와 함께 누리꾼 연 4만 4,064명이 피싱사이트의 공격을 받았고, 루이싱 쪽은 1만 3,060개의 피싱 웹주소를 탐지했다.

지난 주말 중국내 피싱사이트 ‘Top5’는 △인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’로 위장한 www.haohhx.com △허위 중국공상은행류 http://23.80.169.63/ICBCINBSReqGrwsyh.asp △허위 의약류 http://jt8.shenyy.net/ △허위 온라인 구매류 http://lw.hhhz.org/ △중국 인터넷사이트 텅쉰으로 가장한 http://pengboshidai.cn/_tpl/1/05/index.php?user=BZEz9 등이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>