中 온라인 메신저 QQ 계정·비밀번호 훔치는 트로이목마 활개
피싱 사이트 2만4,000여개 탐지, 누리꾼 9만명 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 지난주 중국 최대 온라인 메신저 ‘QQ’를 겨냥해 사용자의 계정과 비밀번호를 훔친 뒤 다른 중요한 정보들을 훔치는 새로운 바이러스가 출현해 기승을 부린 것으로 드러났다. 또한 중국에서 지난 한 주 동안 2만4,000여개의 피싱 사이트가 정보보안 업체에 의해 탐지됐으며, 중국 누리꾼 9만 명이 피싱 사이트의 공격을 받은 것으로 나타났다.

中 4월 둘째주 주요 컴퓨터 바이러스
중국 정보보안회사인 루이싱은 16일 자사 ‘클라우드 보안’ 시스템을 써서 4월 6일~12일 한 주 동안 중국에서 차단한 컴퓨터 바이러스 가운데 상위 10개를 뽑아 공개했다.
지난 주 중국내 컴퓨터 바이러스 톱10은 차단 비율로 보면, △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Trojan.Win32.FakeAV △Win32.KUKU △Trojan.Script.Lisp.ACAD 등 차례였다.



▲ 중국 정보보안업체 루이싱정보기술이 4월 6일~12일 중국에서 차단 비율을   바탕으로 뽑은 컴퓨터 바이러스 톱10(출처: 루이싱정보기술)
中 온라인 메신저 ‘QQ’ 비밀번호 절취...삭제 어려운 트로이목마 활개
특히 지난 주 중국에서 ‘QQ 큰 도둑’으로 불리는 바이러스 ‘Trojan.PSW.Win32.QQPass.eyp’가 정보보안 업계와 누리꾼의 주목을 받았다. 중국의 최대 온라인 메신저 ‘QQ’를 겨냥한 이 바이러스는 파일 폴더로 위장해 누리꾼을 꾀어 컴퓨터에 내려 받게 한 뒤 활동을 개시와 함께 스스로 은폐한다.

이어 컴퓨터에 %ProgramFiles%\Windows Media Player\5\4\2\a\d\e\6\b\3\6\d\0\f\1\0\a\2\1\6\e\b\5\5\9\8\5\d\d\7\4\e\e\autorun.inf\svchost.exe 만들어 컴퓨터 사용자가 이를 삭제할 수 없게 한다. 또 컴퓨터에 있는 메신저 ‘QQ’ 프로그램 실행을 강제로 중지시키는 한편, 위조된 QQ 로그인 창을 컴퓨터 화면에 띄워서 사용자를 속여 QQ 계정과 비밀번호를 입력하게 한다.

컴퓨터가 이 바이러스에 감염되면, QQ 계정과 비밀번호가 도난 당하는 데 이어 중요하고 민감한 정보들이 유출될 위험에 놓이게 된다. 일자 별로 중국에서 널리 퍼진 컴퓨터 바이러스를 보면, 먼저 7일에는 ‘Trojan.PSW.Win32.QQPass.fnt’ 가 꼽혔다. 루이싱의 보안 시스템은 연인원 2만4,803명으로부터 신고를 받았다. 이 바이러스는 백그라운드에서 컴퓨터 사용자의 입력 내용을 감시하고, 사용자의 QQ 계정과 비밀번호를 빼내어 해커에게 보내는 것으로 드러났다.

지난 8일에는 연 2만4,906명이 신고한 ‘Trojan.Win32.Downloader.bf’이 기승을 부렸다. 이 바이러스는 백그라운드에서 컴퓨터에 설치된 안티바이러스 프로그램을 중지시키며, 레지스트리를 만들어 탐지ㆍ퇴치를 피한다. 또 인터넷 익스플로러 브라우저 프로그램을 만들고, 해커가 지정한 서버로부터 바이러스 파일과 트로이목마를 컴퓨터에 내려 받는 것으로 밝혀졌다.

4월 9일 중국에서 활개를 친 컴퓨터 바이러스는 ‘Trojan.Win32.Downloader.bg’ 였다. 이 바이러스도 8일 기승을 부린 ‘Trojan.Win32.Downloader.bf’ 같은 악성 행위를 한다. 주말이 들었던 지난 10일~12일 사흘 동안 널리 퍼진 바이러스는 ‘Trojan.DL.Win32.Undef.tlc’ 였다.

연 2만4,432명이 신고한 이 바이러스는 인터넷과 SNS 공유 기능을 통해 퍼졌는데, 백그라운드에서 컴퓨터를 해커가 지정한 또 다른 웹주소에 연결시키고 배포 S/W를 내려 받아 실행 시킨다. 동시에 강제로 컴퓨터에 설치한다. 또 이 바이러스는 배포 S/W에 딸린 제거 기능을 삭제할 수 있는데, 사용자는 일반적인 수단으로 이들 S/W를 제거할 수 없다. 이 때문에 컴퓨터가 일단 감염되면, 스팸 S/W가 강제로 설치되고 컴퓨터 운행 속도 역시 느려지는 문제가 일어난다고 루이싱은 설명했다.



▲ 4월 6일~12일 중국내 주요 컴퓨터 바이러스(출처:중국 루이싱)

中 4월 둘째주 주요 피싱사이트
루이싱은 자사 ‘클라우드 보안’ 시스템을 이용해 지난 6일~12일 한 주 동안 중국에서 2만4,126개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전과 비슷한 규모를 유지했다. 중국 누리꾼 9만 명이 피싱 사이트의 공격을 받았다. 피해자는 한 주 전과 견주어 1만 명 줄었다.

루이싱 보안 시스템의 통계에 따르면, 피싱 사이트의 공격에 노출됐던 중국 누리꾼 수(연인원)은 7일 1만2,221명, 8일 1만1,221명, 9일 1만4,285개로 꾸준히 늘었고 주말이 포함된 10일~12일에는 3만4,173명에 달했다.

지난 주에도 중국에서는 유명한 웹사이트·온라인 쇼핑몰·게임·TV 프로그램 등을 사칭한 피싱 사이트들이 누리꾼의 중요한 정보와 금전을 노렸다. 게임 S/W를 가장한 www.9ixk.com, 가짜 의약류 www.gxtata.com, 구글(Google)을 사칭한 www.rcj.cl/iau/googledock/Googledoc 등이 대표적이다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨기고 있기 때문에 클릭해서는 안 된다고 정보보안 전문가들은 강조했다.

일자 별로 중국에서 탐지·차단 횟수 등이 많았던 피싱 사이트 Top5를 보면, 먼저 7일에는 △중국판 인기 TV 노래 프로그램 ‘보이스 오브 차이나’을 사칭한 http://woyo.so/js/www.zjstv.com/(가짜 방송사 주관 당첨 정보로 사용자를 속여 송금 유도) △중국 최대 은행 중국공상은행을 사칭한 www.icbcjq.com/(사용자를 속여 카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 www.11183pu.tk/pay/jian/(사용자 카드 번호와 비밀번호 편취) △허위 의약류 사이트 http://xfl.fhyx520.com/(허위 의약 정보로 사용자를 속여 송금 유도) △중국 최대 온라인 금전 결제 전문 대행 사이트 즈푸바오를 사칭한 http://gvuyrhf.com/a1-1.asp?Bank=CCB (사용자를 속여 카드 번호와 비밀번호 훔침) 등이 꼽혔다.

지난 8일 피싱사이트 톱5에는 △중국 최대 메신저·게임·포털사인 텐센트가 주관한 당첨 정보로 가장한 http://95.1h.44915.com/(가짜 당첨 정보로 사용자를 꾀어 송금 유도) △중국공상은행을 사칭한 http://wap.icbcnfg.com/login.asp △중국 최대 온라인 쇼핑몰 타오방(taobao)를 가장한 http://uyymquug.tk/bbb/bbb/bbb/code/ (사용자를 속여 카드 번호와 비밀번호 빼냄) △허위 의약류 사이트 www.lianbangkabu.cn/images/yt.htm △구글의 전자우편으로 위장한 http://desoinca.com.ve/necesario/vivt/(사용자의 계정과 비밀번호 편취) 등 순이었다.

4월 9일 피싱사이트 톱5는 △허위 온라인 쇼핑류 www.wininzy.com/(허위 쇼핑 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 http://jianshezvip.com/ △타오바오를 사칭한http://wvdgbfu.tk/taobao/ △허위 의약류 피싱 사이트 http://qb.zimilan.org/ △아웃룩(Outlook)로 가장한 http://webbyfly.com/local/js/outlook/login.html(사용자를 속여 계정과 비밀번호 훔침) 등이었다.

주말이 들었던 지난 10일~12일 피싱 사이트 톱5에는 △허위 온라인 구매류 http://s1.jjzl.com.cn △텅쉰 주관 상품 수령 정보로 속인 www.xmktv.net/about/hz/ (허위 상품 수령 정보로 사용자를 속여 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://181.shentu210.cn/icbc/default.htm △허위 의약류 사이트 www.miaotiao315.com/ △야후(Yahoo) 전자우편으로 가장한 http://lampmaker.uk/Betterme/ (사용자의 계정과 비밀번호 편취) 등 차례로 꼽혔다.

한편 루이싱이 보안 시스템을 써서 탐지한 중국내 피싱 웹주소 수는 7일 4,077개, 8일, 3,549개, 9일 4,419개, 10일~12일 9,832개를 기록했다. 웹페이지에 숨은 트로이목마의 공격을 경험한 중국 누리꾼 수(연인원)은 7일 1만5,903명, 8일 1만5,934명, 9일 1만4,090명, 주말이 낀 10일~12일에는 3만9,670명이었다. 루이싱 쪽이 탐지한 트로이목마 삽입 웹주소 수는 7일 9,842개, 8일 1만78개, 9일 9,002개, 10일~12일 2만2,903개로 나타났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>