인터넷 계정·비밀번호 및 쇼핑정보 훔치는 새 바이러스 활개
中 보안업체 피싱 사이트 2만600여개 탐지...中 누리꾼 10만명 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 9월 둘째 주 PC에 설치된 유명 메신저·동영상·검색 관련 각종 SW의 바로가기를 삭제하고 유명 온라인 쇼핑몰 타오바오(Taobao) 웹 페이지를 자동으로 열어 여러 인터넷 계정, 비밀번호와 온라인 쇼핑 정보들을 훔치는 새 바이러스가 기승을 부렸다. 또 지난주 중국 보안업체가 자국에서 찾아낸 피싱 사이트 수는 2만600여 개였으며, 중국 누리꾼 10만 명이 피싱 사이트의 공격을 받았다.

中 9월 7일~13일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 9월 7일~13일 한 주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Trojan.Win32.Generic.18E5CC35’라고 밝혔다.

이 ‘Trojan.Win32.Generic.18E5CC35’는 레지스트리를 수정하고, 컴퓨터 시작 관련 자동 개시 항목에 ‘Software\Microsoft\Windows\CurrentVersion\Run[apphide]=’ 바이러스 경로를 추가한다.

또 개시 메뉴 가운데 중국 텐센트(Tencent) SW와 아이치이(iqiyi), 바이두(Baidu) 보안 프로그램(가이드)등 여러 바로가기를 삭제한다. 중국 최대 온라인 메신저 ‘QQ’ 브라우저를 조회하고 중국 유명 온라인 쇼핑몰 타오바오 웹 페이지 화면을 연다. 이 때문에 PC 사용자는 여러 인터넷 계정과 비밀번호가 도난당하고 온라인 쇼핑 정보가 유출되는 위험에 놓이게 된다. 루이싱은 이 바이러스에 대한 경계 등급으로 별 다섯 개 가운데 네 개를 매겼다.



▲ 9월 7일~13일 중국내 주요 PC 바이러스(출처:중국 루이싱정보기술)

루이싱이 보안 시스템의 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 9월 7일에는 ‘Trojan.Win32.Generic.1708187C’가 지목됐다. 루이싱의 ‘클라우드 보안 시스템’이 연인원 2만3,706명으로부터 신고를 받았다. 이 바이러스는 시스템 디렉터리 아래 자신을 복제하고, 시스템 파일 Filet.sys을 삭제한다. 감염 소스를 투입하고, 파일을 감염 시키며 바이러스 백신 SW를 파괴한다.

또 host 파일을 수정해 방문을 제어하며, 더 많은 바이러스들을 PC에 내려 받는다. 이 바이러스는 이런 행위들을 끝낸 뒤 자신을 삭제한다. 이로 인해 PC 사용자는 민감한 정보 유출과 온라인 뱅킹 관련 정보가 도난당하는 위험을 겪게 된다.

지난 8일 중국에서 널리 퍼진 바이러스는 ‘Trojan.Win32.Buzus.fyu’. 이 바이러스는 감염 PC의 C디스크 루트 디렉터리 아래 감염 소스를 투입하며, 바이러스 백신 SW를 강제로 닫는다. PC 디스크를 조회하며, 로컬 디스크 중 exe, html, asp, aspx, rar 등 파일을 감염시킨다. 최종적으로 전체 인트라넷 안의 다른 컴퓨터들과 공유해 감염시키고 다른 바이러스들을 내려 받는다. 연 2만3,211명이 이 바이러스를 신고했다.

이어 9일 중국에서 기승을 부린 대표적인 바이러스는 ‘Worm.Win32.VBCode.et’. 연 2만3,298명이 신고한 이 웜(worm) 바이러스는 각 디스큰 루트 디렉터리에 자신을 복제하고, 디스크 내 바이러스 파일을 운행시킨다고 루이싱은 설명했다. 동시에 레지스트리를 수정하고 시스템의 숨김 파일 보기를 닫아, 바이러스 숨김 파일이 드러나지 않도록 한다. 이어 PC내 정보들을 해커가 지정한 웹 주소로 보내고 해커의 원격 통제를 받는다.

10일에는 ‘Trojan.Win32.Confuse.a’가 중국에서 크게 번졌다. 이 바이러스는 실행 프로그램을 작동시키고 코드를 주입하며, EIP를 수정해 자신의 코드를 실행한다고 루이싱은 설명했다. 동시에 레지스트리를 수정해 컴퓨터 시작과 함께 자신이 자동으로 활성화하도록 만든다. 감염 PC에서 몰래 악성 웹 페이지를 실행시키는 동시에 해커가 지정한 웹 주소에서 다른 대량의 바이러스 프로그램을 PC에 내려 받는다고 루이싱은 덧붙였다. 연 2만3,922명이 이 바이러스를 신고했다.

주말이 든 11일~13일 사흘 동안 중국에서 활개를 친 대표적인 PC 바이러스는 ‘Dropper.Win32.Farfli.a’. 연 2만4,003명이 신고한 이 감염형 바이러스는 컴퓨터 시작과 함께 자동으로 활동 개시하며, 시스템 파일을 파괴하고 RootKit 드라이버 장치 대상에 연결한다. 이어 TCP 포트를 통해 PC를 해커가 지정한 웹 주소에 연결해 더 많은 바이러스 파일들을 내려 받고 PC내 모든 정보를 해커에 보낸다. 감염 PC는 디도스(DDoS) 공격과 감시 제어 같은 피해도 입을 수 있다.

 
中 9월 둘째 주 피싱사이트 발생 동향
루이싱은 지난 9월 7일~13일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 써서 탐지한 중국내 피싱 사이트 수가 2만614개라고 밝혔다. 이 기간 중국 누리꾼 가운데 10만 명이 피싱 사이트들의 공격을 받았다고 루이싱은 덧붙였다.

이런 가운데 지난 주에는 페이스북(Facebook)을 가장한 http://fecebookk.host22.com/, 온라인 게임으로 위장한 www.dnf4s.com/, 중국건설은행을 사칭한 http://cbcknn.com/index.asp 따위의 피싱 사이트들이 활개를 쳤다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨긴 채 누리꾼들의 인터넷뱅킹 계정·비밀번호와 개인정보들을 빼냈다.

지난 주 피싱사이트의 공격을 받은 중국 누리꾼 수를 보면, 9월 7일에는 연인원 1만3,222명, 8일 연 1만3,588명, 9일 연 1만895명, 10일 연 1만3,646명, 주말이 들었던 11일~13일 사흘 동안에는 연 3만4,538명으로 각각 집계됐다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 9월 7일 3,321개, 8일 3,532개, 9일 2,895개, 10일 4,502개, 11일~13일 7,910개였다.

날짜별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 7일에는 △페이스북을 가장한 http://fejshaker.pl/ (사용자를 속여 카드 번호와 비밀번호 정보 훔침) △온라인 게임으로 위장한 www.dnfkx.com/ (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 빼냄) △허위 구매(쇼핑)류 http://iphone6sj.com/ (허위 구매 정보로 사용자의 금전을 편취) △중국건설은행을 사칭한 www.cbagou.com/index.asp (사용자를 속여 카드 번호와 비밀번호 빼냄) △구글(Google)을 사칭한 www.impactasia.ca/tonynews0112.html (사용자를 속여 전자우편 계정과 비밀번호 정보 훔침) 순으로 꼽혔다.

8일 중국내 피싱 사이트 ‘톱5’는 △애플(Apple)을 가장한 www.unlock-apple-iphone.com/ (사용자 카드 번호와 비밀번호 편취) △온라인 게임을 가장한 www.dnf192.com/ △허위 구매류 www.yadaegf.cn/ △중국건설은행을 사칭한 www.ccbahu.com/ △구글로 위장한 http://googledoc.megashopbrasil.com.br/login/ 등 차례였다.

9일에는 △페이스북을 가장한 http://alaynagider.blogcu.com/ △온라인 게임으로 위장한 www.tlcfsq.com/ △허위 구매류 http://model29.xu1514.com/ △중국건설은행을 사칭한 http://wap.jsjfzxdh.com/index.asp △구글을 사칭한 http://jmltda.cl/language/dtrade/ 순으로 ‘톱5’에 꼽혔다.

10일 피싱 사이트 ‘톱5’는 △페이스북으로 위장한 http://zeppa.bugun.in/google0ce2c07846607e76.html △온라인 게임으로 가장한 www.cftjsq.com △허위 의약류 www.gxtata.com/ (허위 구매 정보 사용자를 속여 금전 빼냄) △중국건설은행을 사칭한 http://wap.cobnnc.com/index.asp △구글을 가장한 http://ind-group-llc.com/T/TOLU/index.php.htm 순이었다.

주말이 들었던 11일~13일에는 △페이스북을 가장한 http://messsengerr.com/ △온라인게임으로 위장한 www.jdcfsq.com/ △허위 의약류 http://sz0756.com/ △중국건설은행을 사칭한 http://wap.fjhccb.com/index.asp △구글 사이트로 위장한 www.delanticuario.com/phpmyadmin/2013gdocs/ 등 차례로 피싱 사이트 ‘톱5’에 들었다.

한편 루이싱이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 9월 7일에 연인원 1만899명, 8일 연 1만996명, 9일 연 1만1,393명, 10일 연 1만1,414명, 주말이 들었던 11일~13일 사흘 동안에는 연 3만7,107명이었다. 트로이목마가 숨은 웹 주소는 지난 7일에 3,046개, 8일 2,491개, 9일 2,748개, 10일 3,286개, 11일~13일에는 9,646개가 각각 탐지됐다고 이 회사는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>