보안프로그램 정지·시스템 자원 점용하는 웜 바이러스 활개
피싱 사이트 1만9200여개 탐지...누리꾼 9만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 3월 첫째 주에 컴퓨터 시스템 자원을 대량 점용하고 보안프로그램을 중지시키며 사용자의 온라인 메신저와 동영상 사이트 계정을 훔치면서 피싱 사기를 벌이는 새로운 웜(worm) 바이러스가 활개를 친 것으로 드러났다. 또한 이 기간 중국 정보보안업체가 탐지한 피싱 사이트는 1만9,200여개에 달했고, 9만 명의 누리꾼들이 피싱 사이트들로부터 공격을 받은 것으로 나타났다.

中 3월 첫째 주 주요 컴퓨터 바이러스
중국 정보보안업체 루이싱이 꼽은 지난 주 중국내 대표적인 컴퓨터 바이러스는 ‘Worm.Win32.FakeFolder.c’ 였다. 이 웜(worm) 바이러스는 ‘C:\WINDOWS\system32’ 아래 ‘lbkxuwwmad’과 ‘cfnaicqdme’ 등 두 개 파일 폴더를 만든다. 이어 각각 ‘explorer.exe’와 ‘smss.exe’로 자기 복제를 하고, 이 두 개 프로그램을 실행한다.

이 웜 바이러스는 또 컴퓨터 바탕화면에 피싱 사이트의 바로가기를 만들고, 컴퓨터에 깔린 보안 프로그램의 실행을 중지시킨다. 사용자의 온라인 메신저 ‘QQ’와 동영상 사이트 ‘쉰레이’ 계정을 통해 스스로 전파를 진행한다. 컴퓨터가 이 웜 바이러스에 감염되면, 컴퓨터 운행 속도가 느려지고 네트워크 자원이 대량 점용되며 온라인 피싱 사기를 당하는 위험에 놓이게 된다고 루이싱은 밝혔다.

날짜 별로 살펴보면, 먼저 3월 2일 중국에서 널리 퍼진 대표적인 컴퓨터 바이러스는 ‘Worm.Mail.Brontok.pc’ 였다. 루이싱의 보안시스템이 연인원 2만4,802명으로부터 신고를 받은 이 웜 바이러스는 전자우편의 첨부파일을 이용해 퍼져 나간 것으로 밝혀졌다.

이 웜 바이러스는 ‘host’ 파일을 수정하고 사용자가 안티바이러스 사이트에 방문하는 것을 막는다. 또 백그라운드에서 해커가 지정한 파일을 컴퓨터에 내려 받으며, 다른 바이러스들도 컴퓨터에 투입한다. 이어 컴퓨터 사용자의 연락처 리스트에 접근한 다음, 사용자의 전자우편함을 이용해 연락처내 사람들에게 바이러스가 담긴 전자우편을 발송한다. 컴퓨터가 이 바이러스에 감염되면 민감한 정보들이 유출되고 인터넷뱅킹 계정·비밀번호가 도난당할 수 있다.

지난 3일 중국에서 가장 활개를 친 컴퓨터 바이러스에는 ‘Trojan.Win32.Fednu.uqf’가 지목됐다. 연인원 2만4,550명이 신고한 이 바이러스는 감염 코드를 삽입한 데 이어 비시스템 디렉토리의 모든 실행 가능 파일을 감염시킨다고 루이싱은 밝혔다.
컴퓨터 사용자가 감염된 프로그램 파일을 실행한 후, 이 바이러스는 여러 해킹 백도어 프로그램을 투입한다. 바이러스는 컴퓨터를 해커의 서버로 연결해 각종 파일들을 전송하고, 해커가 발송하는 명령을 받는다고 정보보안 전문가들은 설명했다.

이어 4일 중국에서 기승을 부린 대표적인 바이러스는 ‘Trojan.PSW.Win32.QQPass.fje'로, 연 2만4,632명이 신고했다. 이 바이러스는 백도어에서 컴퓨터 사용자가 입력하는 내용을 감시한다. 또 사용자의 온라인 메신저‘QQ’ 계정과 비밀번호를 훔쳐서 해커에게 보내는 것으로 나타났다.

지난 5일 중국에서 활개를 친 대표적인 바이러스는 ‘Worm.Win32.Autorun.txv’였다. 연 2만3,514명이 신고한 이 웜 바이러스는 이동저장장치를 통해 퍼지는 것으로 밝혀졌다. 대량의 트로이목마를 컴퓨터에 내려 받으며 커다란 보안 위험을 초래한다.

지난 6일~8일 주말 사흘 동안 중국에서 손꼽힌 대표적인 바이러스는 ‘Trojan.DL.Win32.Waski.a’. 연 2만4,830명이 신고했다. 이 백도어 바이러스는 PDF 파일로 위장해 사용자가 클릭해 컴퓨터에 내려 받도록 유도한다.

이어 바이러스는 스스로 temp 디렉터리에 투입된 다음 본체를 삭제한다고 정보보안 전문가는 설명했다. 또 백도어에서 컴퓨터를 해커가 지정한 웹주소에 연결해 다른 악성 프로그램을 내려 받는다. 컴퓨터가 이 바이러스에 감염될 경우 여러 인터넷 계정과 비밀번호가 도난 당하고 은행 카드도 몰래 사용되는 위험에 놓이게 된다.

▲ 3월 2일~8일 중국내 주요 컴퓨터 바이러스 (출처:중국 루이싱)
루이싱의 ‘클라우드 보안’ 시스템 통계에 따르면, 중국에서 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼 수는 3월 2일 연인원 1만6,091명에서 3일 연 1만7,735명으로 늘었다가 4일 연 1만5,847명, 5일 연 1만4,235명으로 계속 내렸다. 주말이 낀 6~8일 사흘 동안에는 연 3만9,731명이 공격을 받았다.

루이싱의 보안 시스템이 탐지한 트로이목마 삽입 웹주소 수량은 2일 9,421개, 3일 9,093개, 4일 8,611개, 7,389개, 6~8일 1만9,593개를 각각 기록했다. 피싱 사이트 공격을 받은 중국 누리꾼 수는 2일 연인원 1만2,611명에서 3일 연 1만5,202명으로 증가했으며, 4일 연 1만4,898명, 연 1만7,874명, 6~8일 연 4만3,898명으로 집계됐다.

루이싱의 보안 시스템이 찾아낸 피싱 웹주소 수량은 2일 3,774개에서 3일 4,022개, 4일 4,760개, 5,497개으로 계속 증가했다. 주말이 포함된 6~8일에는 1만549개가 탐지됐다.

中 3월 첫째 주 주요 피싱 사이트
중국 정보보안업체인 루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 3월 2일부터 8일까지 중국에서 1만9,253만개의 피싱 사이트를 탐지했다고 밝혔다. 피싱 사이트들로부터 공격을 받은 중국 누리꾼 수는 9만 명에 달했다.

지난 한 주 동안 중국에서 정보보안 업계와 누리꾼들의 주목을 받은 대표적인 피싱 사이트들은 △중국 최대 온라인 쇼핑몰 타오바오를 사칭한 www.vdefxc.com △중국 최대 온라인 게임·메신저 업체 텅쉰을 가장한 http://bby.yko98.com/pp/index.asp △중국 최대 은행 공상은행을 사칭한 http://ccc9.sszdw.com:8051/login.asp 등이었다.

이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있기 때문에 클릭해서는 안 된다고 정보보안 전문가들은 당부했다.

루이싱이 꼽은 날짜별 중국내 피싱 사이트 톱5에 따르면, 먼저 가짜 온라인 쇼핑류 피싱 사이트인 △www.sxngs.com/(2일) △http://waw.jybole.com/(3일) △http://kb.stmami.cn/xb3/(4일) △http://w2.intizarman.cn/(5일) △www.hk-daigou.com/(6~8일)이 일주일 동안 줄곧 톱5 안에 들었다. 쇼핑류 피싱 사이트는 가짜 쇼핑 정보로 사용자의 금전을 편취하는 것으로 밝혀졌다.

허위 의약류 피싱 사이트인 △www.sgzhu.cn/(2일) △www.jingxifang.cn/(3일) △www.wanlaifood.cn/(4일) △www.52jiarenwang.com/cobor/(5일) △www.gzhailu.com.cn/(6~8일) 등도 지난 한 주 내내 톱5에 꼽혔다. 의약류 피싱 사이트는 허위 의약 정보로 사용자를 속여 송금을 유도한다.

중국의 유명 온라인 쇼핑몰 타오바오를 사칭한 피싱 사이트 http://103.230.121.194//bbb/bbb/bbb/code/(2일)는 사용자의 계정과 비밀번호를 훔친다. 중국 텅쉰을 사칭한 피싱 사이트 △www.xiaochuanvip.com/(2일) △www.155wp.com/(3일) △www.cf5561.com/(4일), △www.gankuailu.com/(6~8일) 등도 허위 정보로 사용자의 계정과 비밀정보를 빼낸다.

중국공상은행을 사칭한 피싱 사이트 △http://funkcash.com/icbc/default.htm △http://yzhljb.cn/icbc/default.htm(3일) 등도 기승을 부렸다. 이들 피싱 사이트는 사용자의 카드 번호와 비밀번호를 훔치는 것으로 드러났다. 중국 최대 이동통신회사인 중국이동통신(차이나 모바일)을 사칭한 http://wap.10086eep.com/(4일)의 경우 현금으로 바꿔준다는 허위 정보로 사용자를 속여 계정과 비밀번호를 빼낸다.

페이스북(Facebook)을 사칭한 http://facceeibuikszz.com/vid8.php(3일)과 구글 전자우편으로 위장한 http://tweetblog.net/dpbx/index.php(6~8일), TATRABANK를 사칭한 http://3rdhatch.com/2015update/tatra.php(4일) 등도 사용자를 속여 계정과 비밀번호를 훔친다. 가짜 금융류 피싱 사이트인 www.qdstvc.com/(6~8일)와 가짜 P2P류 www.58xindai.com/(5일) 등은 허위 정보로 사용자의 금전을 편취하는 것으로 밝혀졌다.

이밖에 S/W 다운로드류 사이트로 위장한 http://26qq.cc/(5일)는 허위 정보로 사용자를 속여 계정과 비밀번호를 빼내고 어도비(Adobe)를 사칭한 피싱 사이트 http://svautoreports.com/rdy/Adobe/(5일)도 사용자의 카드 번호와 비밀번호를 편취하는 것으로 드러났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]  

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>