새 ‘웜 바이러스’, 중국 온라인 메신저 중지...계정·비밀번호 훔침
피싱사이트 1만9,500개 탐지...누리꾼 8만명 공격 노출

[보안뉴스 온기홍=중국 베이징] 중국에서 지난주 유명 온라인 메신저 ‘QQ’ 계정과 비밀번호를 훔치고 PC내 중요 정보와 여러 인터넷 사이트의 비밀번호도 빼내는 새로운 웜(worm) 바이러스가 출현했다. 이 기간 중국에서 정보보안업체에 탐지된 피싱사이트 수는 약 1만9,500개에 달했으며, 중국 누리꾼 8만 명이 피싱사이트의 공격을 겪은 것으로 나타났다.

中 7월 6일~12일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 7월 6일~12일 한주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Worm.Win32.ECode.fw’였다고 밝혔다.

이 웜 바이러스는 시스템 파일 아래 자신을 복제하고, 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 개시한다. 또 컴퓨터내 중국 온라인 메신저 ‘QQ’ 프로그램을 중지시키며, 브라우저를 이용해 ‘비밀번호 분실’ 또는 ‘새 계정 등록’ 웹페이지를 띄운다. 이어 사용자를 꾀어 관련 정보들을 입력하게 한다. 이르 통해 계정 정보 등을 훔친다. 이로 인해 개인의 중요한 정보들이 유출되고 인터넷 계정과 비밀번호도 도난 당하게 된다.



▲ 7월 6일~12일 중국내 주요 PC 바이러스(출처: 중국 루이싱정보기술)
루이싱이 보안 시스템의 조사결과를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 6일에는 ‘Trojan.Script.BAT.Agent.ep’가 지목됐다. 루이싱이 자사 보안 시스템을 통해 연인원 2만4,067명으로부터 신고를 받았다.

이 바이러스가 활동을 개시한 뒤, 해커는 PC를 통해 감염된 PC의 OS로 진입하게 된다. 또 임의로 방화벽의 보안 서비스 작업을 정지시키고 동시에 관리원 계정을 늘린다고 루이싱은 밝혔다.

지난 7일에는 ‘Worm.Win32.Gamarue.ak’가 기승을 부렸다. 연 2만4,107명이 신고한 이 웜 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 개시한다. 또 이동형 저장장치를 감염시키고, 백그라운드에서 PC를 해커가 미리 지정한 대량의 웹주소에 연결한 다음, PC 하드디스크 안의 중요한 정보들을 해커 쪽에 보낸다. 다른 많은 바이러스들도 내려 받는다. 이 때문에 감염된 PC 사용자는 개인정보 유출의 위험에 처하게 된다.

이어 8일에는 ‘Trojan.Script.VBS.StartPage.vc’가 널리 퍼졌다. 연 2만6,822명이 신고한 이 바이러스는 시스템 파일을 이용해 바이러스 스크립트를 추가하고, 컴퓨터 바탕화면의 모든 바로가기를 변조시킨다. 그리고 사용자로 하여금 정상적으로 보이는 아이콘을 클릭하게 한 다음 바이러스를 실행시키고, 해커가 지정한 악성 웹사이트를 방문하게 한다.

바이러스가 바탕화면의 모든 바로가기를 변조하기 때문에 사용자는 자신도 모르게 악성 웹사이트를 찾게 된다. 이로 인해 컴퓨터 속도는 느려지고 네트워크 속도가 내려 가며, 악성 웹사이트를 방문한 뒤엔 컴퓨터에 대량의 계정 절취류 트로이목마가 다운로드 된다고 보안전문가들은 밝혔다.

지난 9일 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.Win32.FakeAV.bsj’였다. 연 2만5,533명이 신고했다. 이 바이러스는 주로 패키징 된 온라인게임을 통해 전파를 진행한다. 또 해외 유명 백신프로그램을 위조한 다음, 컴퓨터에서 바이러스를 발견했다고 거짓 보고를 한다. 이어 사용자에게 가입해야만 바이러스를 퇴치할 수 있다고 요구한다. 이를 통해 사용자를 속여 유료로 가입해 구매하게 만든다.

주말이 든 10일~12일에는 ‘Trojan.Spy.Win32.Zbot.gao’이 크게 번졌다. 연 2만4,631명이 신고한 이 바이러스는 시스템 디렉터리 아래 임의의 5개 영문자모로 된 디렉터리 2개를 만든다. 또 이 2개 디렉터리 내용에서 하나의 바이러스 파일을 파생시킨다. 동시에 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 벌인다.

이 바이러스는 또 파생된 바이러스 EXE 파일을 전용하고, CMD 명령을 전용해 자신의 원래 파일을 삭제한다고 루이싱은 설명했다. 컴퓨터 안의 윈도우 계정 정보도 수집해 해커가 지정해 놓은 서버로 보낸다. 컴퓨터가 이 바이러스에 감염되면, 컴퓨터 OS 권한이 해커에게 전면 개방되며, 하드디스크 안의 모든 데이터를 잃고 도난·변조될 위험에 놓이게 된다.

中 7월 둘째주 피싱사이트 발생동향
이 회사는 지난 6일~12일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 써서 탐지한 중국내 피싱 사이트 수가 1만9,495개였다고 밝혔다. 한 주 전에 비해 2,311개 늘었다. 또 지난 주 중국 누리꾼 가운데 8만 명이 피싱사이트들의 공격을 받았다고 루이싱은 덧붙였다.

이런 가운데 지난 주 중국에서는 중국이동통신(차이나모바일)을 가장한 www.ccv95533ovr.com/, 온라인 쇼핑으로 위장한 www.hk-qc.com/ 따위의 피싱 사이트들이 나타나 누리꾼들을 공격했다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨긴 채 누리꾼의 인터넷뱅킹 계정·비밀번호와 중요한 개인 정보들을 편취했다.

지난 주 피싱사이트의 공격을 받은 중국 누리꾼 수를 보면, 7월 6일에는 연인원 1만8,119명, 7일 연 1만6,993명, 8일 연 1만4,911명, 9일 연 1만5,886명, 주말이 들었던 10일~12일 사흘 동안에는 연 5만3,440명으로 각각 집계됐다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 6일 5,088개, 7일 4,766개, 8일 4,118개, 9일 3,862개, 10일~12일 9,879개였다.

일자별로 중국에서 기승을 부린 피싱사이트 ‘톱5’를 보면, 먼저 6일에는 △중국 최대 메신저·게임·포털 사이트 텅쉰(Tencent)를 가장한 www.lmfkk88.com.cn (사용자를 속여 계정과 비밀번호 빼냄) △의약으로 위장한 www.3715111.com/ (가짜 의약 정보로 사용자를 속여 송금 유도) △온라인 구매(쇼핑)을 가장한 http://sz-qxd.com/ (허위 구매 정보로 사용자를 꾀어 송금 유도) △중국건설은행을 사칭한 www.ccbhza.com (사용자를 속여 카드 번호와 비밀번호 정보 훔침) △아웃룩(Outlook)으로 위장한 www.xcogroup.co.za/wp-admin/js/live.com/ (사용자의 계정과 비밀번호 편취) 순으로 꼽혔다.

지난 7일 중국내 피싱사이트 톱5는 △중국판 인기 TV 오락 프로그램 ‘아빠 어디가’로 위장한 http://bbhwo.com/ (허위 프로그램 주관 상품 당첨 정보로 사용자를 꾀어 송금 유도) △온라인 게임을 가장한 www.qq501.com/ (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 훔침) △온라인 구매를 가장한 http://appleshoujihk.com/ △중국건설은행을 사칭한 http://wap.ccbarc.com/ △지메일(Gmail)을 가장한 http://simprugdiporis.net/wp-admin/includes/dropbox/ (사용자의 계정과 비밀번호 정보 편취) 등 차례였다.

이어 8일에는 △중국 최대 온라인 쇼핑 사이트 타오바오를 가장한 http://azidnj.cc/index1.asp (사용자를 속여 계정과 비밀번호 훔침) △텅쉰을 사칭한 www.cfyxgl.com/ (허위 S/W 정보로 사용자의 계정과 비밀번호 편취) △허위 온라인 구매류 http://model29.xu1514.com/ △중국건설은행을 사칭한 http://wap.cbcmo.com/ △지메일을 가장한 http://bolor-translator.com/fish/dropbox/ 등이 지목됐다.

지난 9일에는 △가짜 의액류 www.pfbhs.com/yiyuanxinwen/ △텅쉰을 가장한 www.acsqw.com/ △허위 온라인 구매류 www.sz-qxd.com/ △중국건설은행을 사칭한 http://cbcmx.com/ △페이팔(PayPal)로 위장한 https://www.paypal-opwaarderen.nl/nl/opwaarderen (사용자를 속여 계정과 비밀번호 정보 훔침) 순으로 톱5 안에 들었다.

주말이 포함된 10일~12일 중국 피싱사이트 톱5는 △페이팔을 가장한 www.amagagotti.ru/include/2015/Login/update/ △온라인 게임으로 위장한 http://dnf4s.com/ △허위 온라인 구매류 http://sjdm.net/ △중국공상은행을 사칭한 www.95533aiq.cc/ (사용자를 속여 카드 번호와 비밀번호 빼냄) △지메일을 가장한 www.121merchantaccount.com/dropbox/ 등 차례였다.

이들 피싱사이트에는 모두 바이러스나 트로이목마가 숨어 있으므로 누리꾼들은 이 웹페이지들을 클릭해서는 안 된다고 보안전문가들은 당부했다. 한편 루이싱이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 6일 연인원 1만5,460명, 7일 연 1만5,322명, 8일 1만8,925명, 9일 연 1만9,106명, 10일~12일 사흘 동안 연 4만5,146명이었다.

트로이목마가 숨은 웹주소는 6일 3,894개, 7일 4,045개, 8일 6,777개, 9일 6,340개, 10일~12일 1만2,121개가 각각 탐지됐다고 이 회사는 덧붙였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>