음악 파일 아이콘 위장, 인터넷 계정·비밀번호 탈취 바이러스 출현
피싱 사이트 2만7,700개 탐지...누리꾼 12만명 공격 노출

[보안뉴스 온기홍=중국 베이징] 중국에서 12월 셋째주 정보보안 회사가 탐지한 피싱 사이트 수는 2만7,700개에 달했고, 12만명의 누리꾼이 피싱 사이트의 공격을 받은 것으로 나타났다. 또 이 기간에 음악 파일 아이콘으로 위장해 컴퓨터 안의 인터넷 계정과 비밀번호를 수집해 해커에게 보내는 ‘Zbot‘란 이름의 바이러스가 출현했다.

中 12월 셋째 주 컴퓨터 바이러스 발생 상황중국 정보보안회사인 루이싱은 12월 15~21일 자사 ‘클라우드 보안’ 시스템을 써서 차단한 비율을 기준으로 컴퓨터 바이러스 Top10을 꼽아 공개했다. 컴퓨터 바이러스 Top10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode   △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Trojan.FakeIELnk  △Worm.Win32.Autorun  △Win32.KUKU  등 순이었다.


▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단 비율을 바탕으로 뽑은 ‘12월 15~21일 중국 내 컴퓨터 바이러스 Top10’
한주 전과 비교해 8위 ‘Trojan.FakeIELnk’와 ‘Worm.Win32.Autorun’가 자리바꿈을 했다. 10위 Win32.KUKU는 지난주 Top 10 안에 새로 들었다. 특히 지난 주에는 바이러스 ‘Trojan-Spy.Win32.Zbot.sivr’가 중국 누리꾼과 정보보안 업계의 주목을 받았다. 이 바이러스는 음악 파일로 위장해 사용자를 꾀어 컴퓨터에 내려 받게 하는 것으로 밝혀졌다.

이어 임시 파일 폴더에 자아 복제를 한 뒤 본체를 삭제하고, 복제 프로그램을 자동 실행한다. 또 컴퓨터 안의 인터넷 계정과 비밀번호를 수집해 해커가 지정한 웹주소로 보낸다. 컴퓨터가 이 바이러스에 감염되면, 각종 인터넷 계정과 비밀번호가 도난 당하고, 민감한 정보들도 새어 나가는 위험에 놓이게 된다.

날짜 별로 주요 바이러스를 보면, 15일 중국에서 크게 활동한 바이러스는 ‘Trojan.Spy.Win32.Zbot.gaf’ 였다. 루이싱의 ‘클라우드 보안’ 시스템은 이 바이러스에 대해 연 2만5,008회에 걸쳐 신고를 받았다고 밝혔다. 이 바이러스는 시스템 디렉터리 아래 임의의 5개 영문 자모로 된 디렉터리 2개를 만든다.

동시에 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시한다. 또 이 바이러스는 파생된 바이러스 ‘EXE’ 파일을 전용하고, CMD 명령을 전용해 자체 원래 파일을 삭제한다고 루이싱은 설명했다. 이어 컴퓨터 안의 윈도우(windows) 계정 정보를 수집해, 해커가 지정한 서버로 발송한다. 컴퓨터가 이 바이러스에 감염될 경우, 컴퓨터의 운영 권한은 해커에게 전면 개방되며, 하드 디스크 안의 모든 데이터는 분실·도난 또는 변조될 수 있다.

이어 16일에는 연 2만5,140만 명이 신고한 ‘Trojan.Spy.Win32.Zbot.gag’이 넓게 퍼졌다. 이 바이러스는 시스템 디렉터리 아래 임의의 5개 영문 자모의 디렉터리 2개를 만든다. 2개 임의 이름의 디렉터리 내용에서는 하나의 바이러스 파일이 파생된다. 동시에 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시하게 된다.

이 바이러스는 또 파생된 바이러스 EXE 파일을 전용하고, CMD 명령을 전용해 자신의 원래 파일을 삭제한다. 컴퓨터에 있는 윈도우 계정 정보도 수집해 해커가 지정한 서버로 발송한다. 지난 17일 중국에서 크게 번진 바이러스에는 ‘Worm.Win32.Autorun.eyr’가 꼽혔다. 연 2만4,800명이 이 신고한 웜 바이러스는 시스템 파일 폴더 안에 복제를 하고, 자신을 숨김 속성으로 설정한다.

또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시하게 하며, 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결해 네트워크 트래픽을 대량 점용한다. 컴퓨터가 이 바이러스에 감염되면, 시스템 속도가 느려지고 네트워크 속도 역시 점용되며 심할 경우 시스템이 마비될 수 있다.

지난 18일에는 ‘Backdoor.Win32.Fednu.id’ 바이러스가 크게 활개 쳤다. 연 2만4,902명이 신고한 이 웜바이러스는 게임 프로그램으로 위장해 사용자를 속여 컴퓨터에 내려 받게 한다. 이어 게임 프로그램을 빌어 악성 ‘dll’ 파일을 추가하며, 컴퓨터에 백도어 프로그램을 설치한다.

이 바이러스는 또 백도어에서 컴퓨터를 해커가 정해 놓은 웹주소에 연결시키고 컴퓨터의 바탕화면·키보다 동작·네트워크 통신 상황과 카메라를 모니터링 하면서 해커의 명령을 기다린다. 컴퓨터가 이 바이러스에 감염되면, 중요한 정보들이 유출되고 인터넷뱅킹 계정과 비밀번호도 도난당할 위험에 놓이게 된다.

주말이 포함된 19~31일에는 연 2만4,888 명이 신고한 ‘Trojan.Win32.Buzus.fyv’이 널리 퍼졌다. 이 바이러스는 컴퓨터의 C 디스크의 루트 디렉터리 아래 감염 소스를 투입하고 안티바이러스 S/W를 폐쇄시키며 컴퓨터 하드 디스크를 조회한다. 또 디스크 중 exe, html, asp, aspx, rar 등 파일을 감염시킨다. 이어 전체 내부망의 다른 컴퓨터도 감염시키고 더 많은 바이러스들을 내려 받는다.
▲ 12월 15~21일 중국내 주요 컴퓨터 바이러스 (출처:중국 루이싱) 中 12월 셋째 주 피싱사이트 발생 상황
지난 15~21일 중국에서 루이싱의 ‘클라우드 보안’ 시스템이 탐지한 피싱 사이트 수는 2만7,707개였다. 한 주 전보다 4,400여개 증가했다. 이들 피싱 사이트로부터 공격을 받은 누리꾼 수는 12만 명으로 한 주전보다 2만 명 늘었다.

이와 동시에 해커들은 중국에서 이용자가 많은 온라인 쇼핑몰과 결제 사이트, 은행, TV 프로그램들을 사칭한 피싱 사이트들을 내놓고 누리꾼들의 중요한 정보와 금전을 노렸다.

날짜 별로 피싱 사이트 동향을 보면, 루이싱은 ‘클라우드 보안’ 시스템이 15일 연인원 3만5,642명의 누리꾼이 웹페이지에 숨은 트로이목마의 공격을 받은 가운데, 트로이목마가 들어간 웹페이지 1만464개를 탐지했다고 밝혔다. 연 1만4080명의 누리꾼이 피싱 사이트의 공격에 노출됐고, 루이싱 쪽은 4,643개의 피싱 웹주소를 발견했다.

루이싱이 뽑은 15일 중국내 피싱 사이트 Top5는 △중국 최대 인터넷 쇼핑몰 타오바오를 가장한 www.ddnin.com(사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://dm.rougewalk.cn/product/1115.html(허위 구매 정보로 사용자를 속여 금전을 훔침) △허위 의약류 www.runquanbeier.com/quba(허위 의약 정보로 사용자를 속여 송금 유도) △중국 인기 인터넷사이트 텅쉰(QQ)을 가장한 hwww.bsgf.cn/Edit/editor/?N=QTK(사용자를 속여 계정과 비밀번호 훔침) △중국 최대 은행인 중국건설은행을 사칭한 www.huatong999pt.com/ccb.asp(사용자를 속여 은행 카드 번호와 비밀번호 빼냄) 순이었다.

지난 16일에는 연 3만5,457명의 누리꾼이 웹페이지에 잠복한 트로이목마의 표적이 됐고, 루이싱 쪽은 이런 웹페이지 1만1,631개를 탐지했다. 또 연 1만8,002명의 누리꾼이 피싱 사이트에 걸려 들었고, 루이싱은 4,649개의 피싱 웹주소를 찾아 차단했다.

이날 중국내 피싱 사이트 Top5에는 △온라인 쇼핑몰 타오바오를 가장한 http://bszxscx.tk/taobao/com/web.html △허위 온라인 구매류  www.jiumatou.cn/product/1095.html △허위 의약류 http://mt.meiyuanchun.com/mrt/ △텅쉰 사이트를 가장한 http://sdf6.wtred.cn/1.php?t=1&d=66&e=42&ft=nyeljr △ 중국 최대 은행인 중국공상은행을 사칭한 http://113.10.236.71(사용자를 속여 은행 카드 번호와 비밀번호 빼냄) 등이 꼽혔다.

이어 17일에는 연 1만8,907명이 웹페이지에 숨어 있는 트로이목마의 공격을 받았으며, 루이싱은 이 같은 웹페이지 1만12개를 찾아냈다. 또 연 1만1025명이 피싱 사이트의 공격을 받았고, 루이싱은 3,459개의 피싱 웹주소를 탐지했다.

이날 피싱 사이트 Top 5는 △타오바오를 가장한 http://dywbfsj.gjnmb.info/ △허위 온라인 구매류 www.jiumatou.cn/product/1115.html △허위 의약류 http://xueju.116pan.com △ 온라인게임으로 위장한 www.cf117.com(허위 소프트웨어 정보로 사용자의 계정과 비밀번호 훔침) △중국공상은행을 사칭한 http://wap.icvbcr.com/indec.htm 등으로 나타났다.

또한 18일 하루 동안 연 2만832명이 웹페이지에 들어간 트로이목마로부터 공격을 받았고 루이싱 쪽은 1만1,219개의 유사 웹주소를 찾아냈다. 이어 연 1만9,954명이 피싱 사이트를 경험했으며, 루이싱은 4,739개의 피싱 웹주소를 탐지했다.

이날 피싱 사이트 Top5에는 △구글(Google) 메일로 위장한 www.manspray.com/up/index.php(사용자를 속여 계정과 비밀번호 빼냄) △허위 구매류 www.hk-py.com/?seqID=1406687045234 △허위 의약류 http://xueju.tdweb.com.cn △중국판 인기 TV 오락 프로그램 ‘아빠 어디가’를 가장한 www.ak-83xkan.org(허위 프로그램 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://server.ayuisyahooapis.com/images/login.html 등 차례로 뽑혔다.

주말이 포함된 19~21일 사흘 동안에는 연 5만591명의 누리꾼이 웹페이지에 잠복한 트로이목마의 공격에 노출됐으며, 루이싱은 2만4,496개의 유사 웹주소를 찾아냈다. 또 연 5만2,458명이 피싱 사이트의 표적이 됐으며, 루이싱은 1만967개의 피싱 웹주소를 탐지했다고 밝혔다.

사흘 간 피싱 사이트 Top5에는 △타오바오를 가장한 www.gmcmvrks.com △허위 온라인 구매류 http://hkzpsm.ipaicai.cn/product/1024.html △허위 의약류 http://xueju.xinfumei.com.cn △중국판 TV 프로그램 ‘아빠 어디가’를 가장한 www.hnbbrtv3.com △중국공상은행을 사칭한 http://223.255.205.202/images/login.html 등 차례로 지목됐다.

이들 피싱 사이트에는 바이러스나 트로이목마가 숨어 있으므로 누리꾼들은 이를 클릭해 들어가서는 안 된다고 정보보안 전문가들은 강조했다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.com]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>