새 웜 바이러스, IE 홈페이지 변조...네트워크 자원 점용
피싱 사이트 1만7,200개 탐지...누리꾼 8만명 공격 받아
[보안뉴스 온기홍=중국 베이징] 중국에서 최근 PC에 악성 파일을 내려 받고 인터넷 익스플로러(IE)를 변조하며 네트워크를 점용해 컴퓨터 운행 속도를 느려지게 하면서 마비까지 시키는 새 웜(worm) 바이러스가 출현했다. 또한, 지난 주 중국에서 정보보안업체가 탐지한 피싱사이트 수는 약 1만7,200개였으며, 중국 누리꾼 8만 명이 피싱사이트의 공격을 겪은 것으로 나타났다.
中 6월 29일~7월 5일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 6월 29일~7월 5일 한주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Worm.Win32.FakeFolder.aw’ 였다고 7일 밝혔다.
▲ 6월 29일~7월 5일 중국내 주요 PC 바이러스 (출처: 중국 루이싱)
이 웜(worm) 바이러스는 백그라운드에서 http://h1.*********.com/asdb000/setting.ini 에 접속해 해당 파일을 PC에 내려 받는 것으로 드러났다. 이어 레지스트리를 변조하고, 인터넷 익스플로러 홈페이지도 변조한다. 컴퓨터가 이 웜 바이러스에 감염되면, 네트워크 자원이 점용되고 컴퓨터 운행이 느려지며 나아가 시스템이 마비될 수 있다고 루이싱은 밝혔다.
루이싱이 자체 ‘클라우드 보안 시스템’의 조사 결과에 기초해 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 살펴 보면, 먼저 6월 29일에는 ‘Worm.Script.VBS.Agent.cm'가 꼽혔다. 루이싱은 보안 시스템을 통해 연인원 2만3,077명으로부터 신고를 받았다.
이 웜 바이러스는 PC내 유명 백신 SW를 찾아내어 실행을 중지시킨다. 동시에 레지스트리를 수정하고 컴퓨터 시작과 함께 자동으로 바이러스 활동을 할 수 있게 한다. 또 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시키고 이 웹주소의 트래픽을 늘린다. 대량으로 네트워크 자원도 점용한다. 이로 인해 네트워크가 꽉 차고 막히는 현상이 나타난다고 루이싱은 설명했다.
6월 마지막 날인 30일에는 ‘Worm.Script.VBS.Agent.cn’이 중국에서 크게 번졌다. 연 2만2,808명이 신고했다. 이 웜 바이러스도 전날의 ‘Worm.Script.VBS.Agent.cm'과 같은 악성 활동을 벌이는 것으로 밝혀졌다.
7월 첫날인 1일 중국에서 활개를 친 대표적인 PC 바이러스는 ‘Worm.Script.VBS.Agent.co’. 이 웜 바이러스 역시 ‘Worm.Script.VBS.Agent.cm'과 유사한 악성 활동을 하며 PC 사용자에게 해를 끼친다.
지난 2일에는 ‘Trojan.Win32.QQPass.akc’가 기승을 부렸다. 연 2만4,413명이 신고했다. 이 바이러스는 단축기를 이용해 PC에서 실행되고 있는 온라인 메신저 ‘QQ’ 프로그램을 닫는다. 동시에 로그인 창을 위조해 사용자에게 다시 QQ 계정과 비밀번호를 입력하라고 요구한다. 사용자를 이에 속을 경우, QQ 계정과 비밀번호 정보는 해커가 지정한 서버로 보내진다. 이에 따라 QQ 계정과 비밀번호가 도난 당하고 중요하고 민감한 정보들이 유출될 위험이 발생한다.
주말이 포함된 3일~5일 사흘 동안엔 ‘Trojan.Win32.QQPass.akd'이 널리 퍼졌다. 연 2만3,966명이 신고한 이 바이러스도 2일의 ‘Trojan.Win32.QQPass.akc’과 같은 악성 활동을 하는 것으로 드러났다.
中 7월 첫째주 피싱사이트 발생 동향
루이싱은 6월 29일~7월 5일 한 주 동안 보안 시스템을 써서 탐지한 중국내 피싱사이트 수가 1만7,184개였다고 밝혔다. 한 주 전보다 7,200개 정도 줄었다. 이 기간 중국 누리꾼 가운데 8만 명이 피싱사이트들의 공격을 받았다고 루이싱은 덧붙였다. 한 주 전보다 1만 명 감소했다.
지난 주 피싱사이트의 공격을 받은 중국 누리꾼 수를 보면, 6월 29일에는 연인원 1만1,562명, 30일 연 1만3,204명, 7월 1일 연 1만3,967명, 2일 연 1만4,667명, 주말이 들었던 3일~5일 사흘 동안에는 연 4만4,774명으로 각각 집계됐다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 6월 29일 3,697개, 30일 4,094개, 7월 1일 4,924개, 2일 3,898개, 3일~5일 1만211개였다.
이런 가운데 지난 주에는 중국 최대 온라인 메신저·게임·포털사이트인 텅쉰(Tencent)을 가장한 www.cf1713.com/, 의약을 가장한 http://zlfbww.com/, 지메일(Gmail) 전자우편으로 위장한 http://legiondemariamc.com/iunp.tk/public 따위의 피싱 사이트들이 누리꾼을 속여 인터넷 뱅킹 계정과 비밀번호, 개인 정보를 빼낸 것으로 나타났다. 이 피싱 사이트들에는 바이러스나 트로이목마가 숨겨져 있다.
날짜별로 중국에서 기승을 부린 피싱사이트 ‘톱5’를 보면, 6월 29일에는 △중국 최대 온라인 쇼핑몰 타오바오(Taobao)를 가장한 http://item.ttl.bjlabm6.com/ (허위 주문 정보로 사용자를 속여 계정과 비밀번호 정보 훔침) △텅쉰 사이트를 가장한 www.dd373.cc/ (허위 S/W 정보로 사용자의 계정과 비밀번호 편취) △허위 온라인 구매(쇼핑)류 http://qianggou.jjruyi.com/ (허위 구매 정보로 사용자를 속여 송금 유도) △중국건설은행을 사칭한 http://wap.ccbjqi.com/index.asp (사용자의 카드 번호와 비밀번호 훔침) △지메일(Gmail)을 가장한 https://rubeaan.com/packag/new2015/document.php (사용자를 속여 계정과 비밀번호 훔침) 등 차례로 꼽혔다.
6월 30일에는 △중국판 TV 인기 오락 프로그램인 ‘런닝맨’을 가장한 www.nthycw.cn/ (허위 프로그램 주관 경품 당첨 정보로 사용자를 속여 계정과 비밀번호 정보 빼냄) △허위 의약류 www.meiguishenhua.net/ (허위 의약 정보로 사용자를 속여 송금 유도) △허위 온라인 구매류 http://wanggou.haogow.cn/ △중국건설은행을 사칭한 http://103.36.54.229/no.asp (사용자의 카드 번호와 비밀번호 빼냄) △애플(Apple)를 가장한 http://caliber.websitewelcome.com/~info/Login/ (사용자의 계정과 비밀번호 훔침) 순으로 피싱 사이트 톱5에 지목됐다.
7월 1일 피싱사이트 톱5는 △중국이동통신을 가장한 www.ccv95533ovr.com/ (허위 정보로 사용자를 속여 카드 번호와 비밀번호 빼냄) △허위 의약류 www.shop419.com/?package.html △허위 온라인 구매류 www.hk-qc.com/ △중국건설은행을 사칭한 http://ccbbx.cn/ △지메일의 전자우편으로 위장한 http://guardians-of-the-galaxy.info/Googledocs/ 등 차례로 나타났다.
7월 2일에는 △정부를 사칭한 http://162.251.81.19/main/def2 (허위 정보로 사용자를 속여 카드 번호와 비밀번호 훔침) △허위 의약류 www.qdcpw.com/ △허위 온라인 구매류 http://5s.hk-qc.com/ △중국건설은행을 사칭한 http://wap.jsxyktesq.com/ △지메일 전자우편을 가장한 http://cash4cartitle.com/documentation/art/ 순으로 피싱 사이트 톱5에 들었다.
주말이 든 7월 3일~5일 중국내 피싱사이트 톱5는 △타오바오를 가장한 http://hjskjijds.002369.dcqyap.com/ (허위 환불 정보로 사용자의 계정과 비밀번호 빼냄) △텅쉰으로 위장한 www.pwqfc.com/ △허위 온라인 구매류 www.ty-iphone.com/ △중국건설은행을 사칭한 http://wap.dhccbv.cc/yinlian.asp △지메일의 전자우편을 가장한 http://joinlivesmart360.com/templatess/greb/ 등 차례였다.
루이싱이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 6월 29일 연인원 1만3,351명, 30일 연 1만4,742명, 7월 1일 1만5,005명, 2일 연 1만9,013명, 3일~5일 사흘 동안 연 4만9,116명이었다. 또한 트로이목마가 숨은 웹주소는 6월 29일 4,045개, 30일 4,262개, 7월 1일 3,946개, 2일 4,823개, 3일~5일 1만2,094개가 각각 탐지됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
