• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[中 상반기 정보보안 ②] 중국 바이러스 ‘Top 10’은? 2013.07.17

1위는 웝(Worm) 바이러스 ‘Worm.Win32.FakeFolder.c’


[보안뉴스 온기홍=중국 베이징] 중국 온라인 보안솔루션 업체인 루이싱은 최근 발표한 ‘2013년 상반기 중국 정보보안 종합 보고’에서 바이러스 감염 피해자 수, 바이러스 변종 수, 대표성을 바탕으로 종합 평가해 상반기 중국 내 10대 바이러스를 선정했다.

     

       ▲ 2013년 상반기 중국 내 온라인 바이러스 순위 톱10


먼저 1위에 오른 ‘Worm.Win32.FakeFolder.c’는 웜(Worm) 바이러스로 디렉터리 아이콘으로 위장해 이용자를 꾄다. 이 바이러스는 컴퓨터를 감염시킨 뒤 악성 사이트로 향하는 바로 가기 방식을 만들며, 인터넷 익스플로러(IE) 홈페이지를 변조할 수 있다.


이어 2위의 트로이목마 바이러스 ‘Trojan.Spy.Win32.Hijclpk.b’는 ‘lpk.dll’을 시스템의 각 디렉터리에 배포한다. ‘lpk’을 이용해 스스로 활동하며, 백도어(Backdoor) 바이러스를 방출한다.


감염형(Win32) 바이러스인 ‘Win32.Induc.av’(3위)는 ‘delphi’ 파일을 감염시킨 후, 컴퓨터의 Delphi 컴파일을 악성 프로그램에 연결한다. 또 프로그램에 악성 코드를 추가한다.


4위를 기록한 트로이목마 ‘Trojan.Script.Lisp.ACAD.iu’는 CAD lisp 스크립트 유형 바이러스다. 이 바이러스는 컴퓨터 중 이용자의 정상적 lisp 스크립트를 감염시켜 이용자의 CAD 조작에 영향을 끼칠 수 있다. 이 바이러스는 매우 강한 전파력을 갖고 있다고 루이싱은 설명했다.


또 다른 감염형 바이러스 ‘Win32.Jong.b’(5위)는 이용자의 컴퓨터에 있는 모든 실행 파일을 감염시킨다. 숙주의 동작 전에 악성코드를 활동시킨다.


6위의 감염형 바이러스 ‘Win32.Almandahe.c’는 ‘dll’ 백도어를 방출하고 백신 보안 프로그램을 종료시킨다. 이어 원격 서버에 연결해, 서버에서 보내온 명령을 받아 실행시킨다.


웜 바이러스 ‘Worm.Feebs.ls’(7위)는 백도어를 퍼뜨리고 실행시킨다. 또한 8위에 오른 스크립트 바이러스 ‘Hack.Exploit.Script.HTML.IFrame.az’의 경우, 누리꾼이 트로이목마 삽입 사이트에 방문하면 브라우저 등 취약점을 유발할 수 있다. 또 악성 트로이목마 백도어를 내려 받아 실행한다.

웜바이러스인 ‘Worm.Script.VBS.Yuyun.a’(9위)는 시스템 중 모든 디렉터리에 숨어 있으며, 같은 목록에서 동일한 이름의 파일을 생성한다. 또 바이러스로 향하는 바로 가기 방식을 만들고 백도어를 방출한다.

이밖에 트로이목마 바이러스인 ‘Trojan.Win32.Generic.12BCF6BC’(10위)는 이용자의 인기 온라인게임 ‘월드 오브 워크래프트(World of Warcraft)’의 계정과 비밀번호를 훔쳐 사전에 지정된 서버에 발송한다.

루이싱은 “지난 상반기에 중국내 전체 바이러스 수량은 전년 하반기에 비해 93.01% 늘어 폭발적인 증가세를 보였다”며 “그 가운데 트로이목마와 감염형 바이러스 비중이 많았다”고 밝혔다. 이는 계정 절취, 개인정보 판매 등 양대 흑색 산업사슬이 규모를 갖췄기 때문이라는 설명이다. 실제 중국 최대 온라인 메신저인 ‘QQ’, 온라인게임 계정과 비밀번호, 개인 프라이버시, 기업 기밀은 해커가 경제적 이익을 챙기는 주요 경로가 됐다.


또한 지난 2009년 중국에서 많은 보안솔루션들을 무력화시키면서 수십 만대의 컴퓨터를 공격했던 ‘번뉴’와 ‘마오쉬앤’이라는 이름의 악성 트로이목마 다운로더는 당시 보안솔루션 업체들에 의해 퇴치됐다가 최근 다시 출현했다.

루이싱은 “이들 두 바이러스 중 ‘dll’ 위협 기술을 이용하고 전파하는 바이러스가 최근 갈수록 유행하고 있다”며 “각종 백도어와 트로이목마는 이 같은 방법을 써서 활동·전파되고 있고, 시스템을 위협하는 ‘dll’ 파일 종류도 갈수록 많아지고 있다”고 설명했다.

루이싱은 이어 “이런 종류의 바이러스는 시스템의 모든 실행 가능한 파일 목록과 압축 패키지를 복사할 수 있기 때문에, 신속하게 탐지해 퇴치에 나서더라도 이들 바이러스를 근절할 수는 없다”면서 “감염된 컴퓨터에서는 바이러스를 전면적으로 검사·퇴치해야만 완전히 없앨 수 있다”고 강조했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>