인터넷 계정과 비밀번호 훔치는 백도어 바이러스 활개피싱 사이트 2만3,300개 탐지...누리꾼 10만명 공격 노출돼

[보안뉴스 온기홍= 중국 베이징] 중국에서 12월 둘째주 정보보안 회사가 탐지한 피싱 사이트 수는 약 2만3,300개에 달했고 10만 명의 누리꾼이 피싱 사이트의 공격에 노출된 것으로 나타났다.

또 이 기간에 컴퓨터 사용자의 여러 인터넷 계정과 비밀번호를 훔쳐 해커에 보내고, 시스템 권한도 획득해 해커에게 백도어(Backdoor)를 열어 주는 ‘Berbew ‘란 이름의 해커 백도어 바이러스가 출현했다.

中 12월 둘째 주 컴퓨터 바이러스 발생 상황
중국 정보보안회사인 루이싱은 12월 8~14일 일 주일 동안 자사 ‘클라우드 보안’ 시스템을 통해 차단한 비율을 기준으로 컴퓨터 바이러스 Top10을 꼽아 발표했다.
이들 컴퓨터 바이러스 Top10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Worm.Win32.Autorun △Trojan.FakeIELnk △Worm.Script.VBS.Autorun 순으로 나타났다.  한 주 전과 비교해 8위 ‘Worm.Win32.Autorun’와 9위 ‘Trojan.FakeIELnk’가 자리바꿈을 했다. 10위 ‘Worm.Script.VBS.Autorun’는 지난 주 Top 10 안에 새로 들었다.


▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단 비율을     바탕으로 뽑은 ‘12월 8일~14일 중국내 컴퓨터 바이러스 Top10’
특히 지난 주에는 ‘Berbew’란 이름의 해커 백도어 바이러스 ‘Backdoor.Win32.Berbew.I’가 중국 누리꾼과 정보보안 업계의 주목을 받았다. 이 백도어 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 스스로 활동할 수 있게 하며, 시스템 디렉터리 아래 드라이브 파일을 투입한 다음 이를 인트라넷 안에서 퍼뜨리는 것으로 밝혀졌다.

이 바이러스는 또 백그라운드에서 컴퓨터를 해커가 설정해 놓은 웹주소에 연결해 다른 악성 프로그램들을 컴퓨터에 내려 받으며 컴퓨터 안의 온라인게임 계정 정보를 수집한다.

게다가 이 백도어 바이러스는 컴퓨터 사용자의 여러 인터넷 계정과 비밀번호를 홈쳐 해커가 정해 놓은 웹주소로 보낸다. 또 컴퓨터 시스템 권한을 획득한 다음, 해커에게 백도어를 열어 준다고 루이싱은 밝혔다.

컴퓨터가 이 ‘Backdoor.Win32.Berbew.I’에 감염되면, 사용자는 온라인게임 계정과 비밀번호 등을 도난당하게 되고 중요한 정보가 유출되며 컴퓨터는 해커의 제어를 받게 된다고 루이싱은 설명했다. 정보보안업계는 이 바이러스에 대한 경계 등급으로 별 다섯 개 중 세 개를 매겼다.

날짜별로 주요 바이러스들을 살펴보면, 먼저 8일 중국에서 가장 널리 퍼진 바이러스 가운데 하나로 ‘Worm.Win32.Autorun.txs’가 꼽혔다. 연 2만5,023명의 누리꾼이 신고한 이 웜 바이러스는 스스로 복제를 하고 자신을 숨김 상태로 설정하며, 컴퓨터 시작과 함께 활동을 개시할 수 있는 것으로 드러났다.

동시에 보안 모드 선택 항목을 삭제함으로써 컴퓨터가 보안 모드에 진입할 수 없게 만든다. 이 웜 바이러스는 또 컴퓨터를 해커가 정한 웹주소에 연결시켜 다른 악성 프로그램들을 내려 받는 동시에 사용자의 중요 파일들을 업로드한다.

이어 12월 9일 중국에서 유행한 바이러스는 연 2만5,336명이 신고한 ‘Backdoor.Win32.Farfli.af’였다. 이 백도어 바이러스는 ‘%AllUsersProfile%’ 디렉터리 아래 자아 복제를 하고 자신의 이름을 ‘svchost.exe’로 바꾼다. 동시에 레지스트리를 수정해 컴퓨터 시작과 함께 바이러스 활동을 할 수 있게 한다.

컴퓨터가 이 바이러스에 감염되면, 해커는 사용자의 모니터, 키보드, 마우스, 카메라 등에 대해 원격 제어를 실행할 수 있게 되며, 사용자에게 음성·영상 메시지를 보낼 수 있다. 또 컴퓨터 백도어를 제어해 해커가 지정한 웹주소를 방문해 다른 악성 프로그램들을 내려 받게 된다. 사용자는 중요 정보 유출 피해를 입게 되고, 인터넷뱅킹 계정과 비밀번호를 도난당할 수 있다.

지난 10일 중국내 대표적인 바이러스로는 ‘Worm.Win32.Gamarue.e’가 지목됐다 연 2만5,081명이 신고한 이 웜 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시할 수 있게 한다.

또 ‘%AllUsersProfile%\Local Settings\’ 디렉터리에 자아 복제를 한다. 이 바이러스는 USB 저장장치와 외장 저장장치 같은 이동형 저장장치를 감염시키며, 백그라운드에서 컴퓨터를 해커가 정해 놓은 대량의 웹주소에 연결해 하드 디스크에 있는 민감한 정보들을 해커에게 보내는 동시에 다른 많은 바이러스를 내려 받는다.

중국에서 지난 11일 널리 퍼진 대표적 바이러스는 ‘Trojan.Win32.Scrlock.a’가 지목됐다. 연 2만5,014명이 신고한 이 바이러스는 자아 복제를 진행하고 컴퓨터 시작과 함께 자동으로 활동 개시할 수 있게 설정한다. 동시에 컴퓨터 안에 있는 안티바이러스 S/W를 찾아내 실행을 중지시킨다.

이어 이 바이러스는 해당 컴퓨터를 이용해 해커가 지정한 웹주소에 대한 대량 공격을 시도하고, 키보드 조작을 기록하면서 해커 쪽에 컴퓨터 정보를 보낸다. 아울러 컴퓨터 모니터를 잠그고 다른 바이러스들을 컴퓨터에 내려 받게 한다. 컴퓨터가 이 바이러스에 감염되면, 시스템이 멈추고 중요 정보들이 유출되며 인터넷뱅킹 계정과 비밀번호가 도난 당할 수 있다는 정보보안업계는 밝혔다.

주말이 포함된 12~14일 중국에서 유행한 대표적 바이러스는 ‘Trojan.DL.Win32.Mass.a’ 였다. 연 2만4,703명이 신고한 이 바이러스는 유명 온라인게임 ‘던전 앤 파이터(DNF)’의 오토프로그램으로 위장해 사용자를 꾀어 컴퓨터에 내려 받아 설치하게 한다.

이어 컴퓨터를 ‘www.sohoousb.com/game/**.txt’에 연결시켜 설정 정보를 획득하며 감염 PC의 인터넷 익스플로러 홈페이지를 ‘http://www.ttx123.cn/***gema’ 또는 ‘http://click.t3nlink.com/link/***137’로 바꾸고 해커가 정해 놓은 웹주소의 트래픽을 늘린다. 이 바이러스는 또 해당 컴퓨터에 많은 S/W들을 설치하는데, 5분 안에 20여 개의 S/W를 설치하는 것으로 밝혀졌다.
▲ 12월 8~14일 중국내 주요 컴퓨터 바이러스 (출처: 중국 루이싱)
中 12월 둘째 주 피싱 사이트 발생상황
지난 8~14일 중국에서 루이싱의 ‘클라우드 보안’ 시스템이 탐지한 피싱 사이트 수는 약 2만3,283개에 달했다. 한 주 전보다 2,700개 정도 늘었다. 이들 피싱 사이트의 공격의 받은 누리꾼 수는 10만 명으로 한 주전과 비슷했다.

특히 이 기간에도 중국에서 이름이 널리 알려지고 이용자 수도 많은 은행과 TV 프로그램, 온라인 결제, 쇼핑 사이트를 사칭한 피싱 사이트들이 꾸준히 활개를 치면서 누리꾼들의 중요한 정보들을 노렸다.

날짜 별로 피싱 사이트 동향을 보면, 12월 8일 연인원 2만307명의 누리꾼이 웹페이지가 내장된 트로이목마로부터 공격을 받았고, 루이싱의 ‘클라우드 보안’ 시스템은 트로이목마가 숨은 웹주소 1만1,209개를 찾아냈다. 또 연 1만5,917명이 피싱 사이트의 공격에 노출됐으며, 루이싱 쪽은 5,292개의 피싱 웹주소를 찾아 차단했다고 밝혔다.

루이싱이 뽑은 이날 중국내 피싱 사이트 Top5는 △중국 인기 인터넷사이트 텅쉰(QQ)을 가장한 http://zxc3.g356.cn/1.php?t=1&d=66&e=42&mb=jiajtd(사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://mixiaoapk.com/5s.html(허위 구매 정보로 사용자를 속여 금전을 훔침) △허위 의약류 http://zxrj.lxnkm.com(허위 의약 정보로 사용자를 속여 송금 유도) △중국판 인기 TV 노래 프로그램인 ‘보이스 오브 차이나’를 사칭한 http://zz.777735.com/aaweb/zz/hao3/tel/jieshao.asp(허위 프로그램 당첨 정보로  사용자를 속여 송금 유도) △중국 최대 은행인 중국공상은행을 사칭한 http://23.252.161.75/ (사용자를 속여 은행 카드 번호와 비밀번호 빼냄) 순으로 나타났다.

이들 피싱 사이트에는 바이러스나 트로이목마가 숨어 있으며, 누리꾼들은 이를 클릭해 들어가서는 안 된다고 강조했다.

12월 9일에는 연 2만1,266명이 웹페이지에 삽입된 트로이목마의 공격을 받았고, 루이싱은 트로이목마가 숨은 웹페이지 9,596개를 발견했다. 이날 또 연 2만474명이 피싱 사이트의 공격에 걸려 들었고, 루이싱 쪽은 6,356개의 피싱 웹주소를 탐지했다고 밝혔다.

이날 지목된 중국내 피싱 사이트 Top5는 △텅쉰을 사칭한 http://zzz2.asdgn.cn/1.php?t=1&d=66&e=42&gj=jfvblr △허위 온라인 구매류 http://wap.wuxilmy.com △허위 의약류 http://zxrj.taier99.cn △중국판 인기 TV 오락 프로그램 ‘런닝맨’ www.zjwstv.com(허위 프로그램 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://59.188.69.169/com/icbcmybank.htm 등 차례였다.

이어 지난 10일에는 연 1만6,619명이 웹페이지에 숨은 트로이목마의 함정에 걸려들었고 루이싱 쪽은 트리이목마가 삽입된 웹주소 8,989개를 찾아냈다. 또 연 1만7,750명이 피싱 사이트의 공격에 노출됐으며, 6,306개의 피싱 웹주소가 정보보안회사에 의해 발견됐다.

중국에서 이날 활개를 친 피싱 사이트 Top5는 △야후(Yahoo) 메일로 위장한 http://mrrl.org/yhoo/Indezx.html(사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매류 http://mi1.yaanbx.com△허위 의약류 http://pp57.jianke.com △텅쉰 사이트를 사칭한 http://www.cfyxgl.com△중국공상은행을 사칭한 http://70.39.88.18/ 등으로 나타났다.

12월 11일 웹페이지에 잠복한 트로이목마의 공격을 받은 누리꾼은 연 1만8,686명이었고 루이싱은 트로이목마가 숨어든 웹주소 1만34개를 탐지했다. 또 연 1만9,477명이 피싱 사이트를 경험했고, 루이싱은 5,029개의 피싱 웹주소를 찾아냈다.

정보보안업계가 뽑은 이날 중국내 피싱 사이트 Top5는 △구글(Google) 메일로 위장한 http://24hoursinvestigation.com/dco/br/br(사용자를 속여 계정과 비밀번호 빼냄) △허위 온라인 구매류 http://mbo22fe06.isitestar.com △허위 의약류 http://srbn.bjtctattoo.com/?baidu_pc △중국 최대 온라인 금전 결제 사이트 즈파바오를 사칭한 http://bszxscx.tk/taobao/com/a1.asp(허위 환불 정보로 사용자를 속여 카드 번호와 비밀번호 훔침) △중국공상은행을 사칭한 http://365.opjikh.com 등이었다.

주말이 들었던 12~14일에는 연 4만8,105명이 웹페이지에 숨은 트로이목마의 공격 대상이 됐고 루이싱 쪽은 2만6,055개의 트로이목마 삽입 웹주소를 발견했다. 또 연 4만2,046명이 피싱사이트의 공격을 받았고, 루이싱 쪽은 9,484개의 피싱 웹주소를 찾아냈다.


▲ 12월 19일 당일 중국 정보보안회사 루이싱이 차단 횟수를 바탕으로 뽑은 피싱사이트 Top 5

사흘 동안 중국에서 널리 퍼진 피싱 사이트 Top 5는 △중국 최대 이동통신서비스 회사인 중국이동통신(차이나 모바일)을 사칭한 http://wap.sh-10086.cc/,(허위 결제 정보로 사용자를 속여 계좌번호와 비밀번호 빼냄) △허위 구매류 http://ssw.chezhimeng.cn/，△허위 의약류 http://bh2.zdzyyy.com/zt/pfc/?bD-BC1-1，△온라인 게임으로 위장한 www.cf123zsw.com/,(허위 소프트웨어 정보로 사용자의 계정과 비밀번호 훔침) △야후 메일로 위장한 http://mrrl.org/yhoo/Indezx.html 등으로 나타났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>