9월 첫째 주 피싱 사이트 3만1천개...13만명 공격 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 9월 첫째 주 3만1,000여개의 피싱 사이트가 탐지되고 13만명의 누리꾼이 피싱 사이트로부터 공격을 받은 것으로 나타났다. 또 이 기간 인터넷 홈페이지를 변조시키고 다른 많은 소프트웨어(SW)들을 강제로 컴퓨터에 설치시키는 바이러스가 발견됐다.

중국 정보보안 회사인 루이싱은 10일 내놓은 ‘주간 바이러스와 보안 추세’ 보고에서 자사 ‘클라우드 보안’ 시스템이 9월 1일~7일 찾아낸 컴퓨터 바이러스 가운데 차단비율을 바탕으로 상위 10개 바이러스를 뽑아 발표했다.

‘Hack.Exploit.Script.JS.Bucode’는 지난 주 1위에 올라 10주째 정보보안 회사의 차단 횟수가 가장 많은 바이러스에 꼽혔다. 이어 ‘Trojan.Win32.FakeUsp’는 한 주 전보다 두 계단 오른 2위에 올랐다.

또 ‘Trojan.Win32.Generic’와 ‘Hack.Exploit.Win32.MS08-067’는 각각 한 계단 내린 3위, 4위를 기록했다. 바이러스 ‘Worm.Win32.MS08-067’, ‘Trojan.Win32.FakeLPK’, ‘Trojan.Win32.ACAD’는 한 주 전과 변동 없이 각각 5위, 6위, 7위에 뽑혔다. 바이러스 ‘Trojan.FakeIELnk’는 8위를 차지했고, ‘Trojan.Win32.SysVenFak’와 ‘Trojan.Script.Lisp.ACAD’는 자리 바꿈 없이 각각 9위, 10위를 기록했다.

특히 지난 한주 중국에서 주목을 받은 바이러스 가운데 하나는 ‘Trojan.Win32.Generic.172CBC9F’다. 이 트로이목마 바이러스는 정상적인 SW와 묶어 전파를 진행하는데, 컴퓨터 사용자가 비공식적 다운로드 경로를 통해 파일을 내려 받을 때 이런 유형의 바이러스의 습격을 쉽게 받게 된다고 루이싱은 설명했다.

이 바이러스는 활동 개시 뒤 ‘c:\docume~1\admini~1\locals~1\temp\851578.ini’ 파일을 투입하고, 시스템 ‘regini.exe’을 써서 로그인을 진행한다. 또 인터넷 브라우저 홈페이지를 ‘2345’란 웹주소로 바꾸고, 백도어에서 해커가 지정해 놓은 웹주소로 컴퓨터를 연결시켜 S/W들을 내려 받아 설치한다. 컴퓨터가 이 바이러스에 감염될 경우, 네트워크 자원과 시스템 자원이 대량으로 점용되고 시스템 운행이 많이 느려지게 되는 것으로 밝혀졌다.

이런 가운데 지난 1일 루이싱 ‘클라우드 보안’ 시스템이 연 2만 4,363명의 누리꾼에게서 신고를 받은 바이러스 ‘Trojan.Win32.Buzus.fyu’는 감염된 컴퓨터의 C 디스크 루트 디렉터리에 감염 소스를 투입하고 강제적으로 바이러스 퇴치 프로그램을 닫는다.

또 컴퓨터 디스크의 ‘exe’ ‘html’, ‘asp’, ‘aspx’, ‘rar’ 등 파일을 감염시킨다. 나아가 전체 네트워크 안의 다른 컴퓨터도 감염시키고 더욱 많은 바이러스들을 내려 받는다.

중국 누리꾼 연 2만 4,297명이 2일 루이싱 쪽에 제보한 웜바이러스 ‘Worm.Win32.VBCode.et’는 루트 디렉터리에 자아 복제를 하고, 레지스트리를 수정하며 시스템의 숨김 파일 보기를 닫아 바이러스가 숨어 있는 파일이 보이지 않게 한다. 게다가 컴퓨터 안의 모든 정보를 해커가 지정한 웹주소로 발송하고, 컴퓨터가 해커의 원격 통제를 받게 만든다.

지난 3일 누리꾼 연인원 2만 4,700명이 루이싱 쪽에 신고한 바이러스 ‘Trojan.Win32.Confuse.a’는 ‘EIP’를 고쳐 자체 코드를 실행하고 레지스트리를 수정해서 자신을 컴퓨터가 켜지면 자동 실행되게 한다. 이 바이러스에 감염된 컴퓨터는 악성 웹페이지를 실행하게 되고 해커가 지정한 웹주소에서 다른 많은 악성 프로그램들을 컴퓨터에 내려 받는다고 루이싱은 밝혔다.

이어 지난 4일 가장 활개를 친 바이러스로는 ‘Trojan.Win32.Injection.c’가 지목됐다. 루이싱의 ‘클라우드 보안’ 시스템은 이날 연인원 2만4,833명으로부터 신고를 받은 이 바이러스는 자아 복제를 하고 레지스트리를 수정한다. 동시에 ‘시스템 스냅 촬영’ 기능을 만들어 진행과정을 파악하는 데 활용한다. 이어 컴퓨터를 해커가 지정한 웹주소에 연결시켜 데이터를 내려 받음으로써, 바이러스에 감염되게 한다.

이 ‘Trojan.Win32.Injection.c’는 원격으로 컴퓨터를 훔쳐보고 사용자의 민감한 정보를 훔친다. 사용자가 정상적인 웹페이지를 열 때, 이 바이러스는 백도어에서 악성 웹주소를 열어, 바이러스가 지정한 웹주소의 트래픽을 늘리는 것으로 나타났다.

中 9월 1일~7일 피싱 사이트 ‘TOP 5’

루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 9월 1일~7일 3만1,098개의 피싱 사이트를 찾아냈다고 밝혔다. 피싱 사이트로부터 공격을 받은 중국 누리꾼 수는 연인원 13만명이었다. 한 주 전과 견주어 피싱 사이트 수는 400개 가량 늘고, 피해자 수는 비슷했다.

이 회사가 ‘클라우드 보안’ 시스템을 써서 10일 현재 차단한 횟수를 바탕으로 해 뽑은 피싱사이트 Top5는 다음과 같은 순이었다. 

△**.**.221.30

△www.**2448448488.com

△**5.**p100657642100657642006576420657642657642576427642642422.

qqopenapp.com/default.aspx

△**8.**p100657642100657642006576420657642657642576427642642422.

qqopenapp.com/default.aspx

△**6.**p100657642100657642006576420657642657642576427642642422.

qqopenapp.com/default.aspx

中 인기 TV프로·은행·쇼핑몰·결제 사칭한 피싱 사이트

아울러 지난 한 주 동안 중국에서 주목을 받은 피싱 사이트로는 △노래 오디션 TV프로그램 ‘보이스 오브 차이나’를 가장한 ‘www.haowaux.com’ △중국 유명 인터넷사이트 텅쉰(QQ)’를 사칭한 ‘http://libs.ene55.com/index.php?op=lcY96QMvW_’ △가짜 금액 충전류 피싱 사이트 ‘http://www.kyg.pw’ 등이 꼽혔다.

이 중 1~4일 주요 피싱 사이트들을 보면, ‘보이스 오브 차이나’를 사칭한 피싱 사이트 ‘http://hsytya.cc’와 ‘www.zjfi3.com’, ‘http://gxyq.cc’, ‘www.hsykwu.cc/’ 등은 가짜 당첨 정보로 사용자를 속여 돈을 송금하게 했다.

중국공상은행을 가장한 피싱 사이트 ‘http://boccn.cc’와 ‘http://icdcepc.com/icbc’, ‘http://ax168.hk002.56tuan.net’, ‘http://wap.cibldtu.com’ 등은 사용자 은행카드 계정과 비밀번호 정보를 훔친다. 이동통신 서비스회사를 가장한 피싱 사이트 ‘www.u-189.com/txzl.htm’ 역시 사용자 은행카드 계정과 비밀번호를 편취하는 것으로 밝혀졌다.

이동전화 선불카드 금액 충전을 사칭한 피싱 사이트 ‘www.shouyu007.com’는 허위 금액 충전 정보를 보내 사용자의 금전을 훔친다. 온라인쇼핑을 가장한 피싱 사이트 ‘http://mi.jsxnmw.com’도 가짜 금액 충전 정보로 사용자를 속여 금전을 편취하는 것으로 나타났다.

중국 최대 온라인 쇼핑몰 타오바오를 사칭한 ‘http://agefule.com’와 ‘http://losujdqian.gkgbeu.com’, ‘http://103.231.185.253/refund.html’는 온라인뱅킹 계정과 비밀번호를 편취하고, 온라인 금전 결제 사이트 ‘즈푸바오(Alipay)’로 위장한 ‘http://frqgy.com/a1.asp’와 ‘http://agefule.com/b1.asp?Bank=CCB’,  ‘http://23.104.206.75/a1.asp’ 은행카드 계정과 비밀번호를, 가짜 의약류 피싱 사이트 ‘http://xfl.198gou.net/xfl/index.htm’와 ‘www.10fenli.com/999’, ‘www.gmanafricavip.com’는 허위 의약 정보로 사용자 금전을 손에 넣는 것으로 드러났다.

한편, 루이싱 ‘클라우드 보안’ 시스템이 10일 하루 차단 횟수를 바탕으로 뽑은 악성코드 삽입 사이트 ‘Top5’는 △http://hj688.**222.org(차단 횟수 약 9,291회) △http://jump.**666.org(약 4,858회) △http://cnhbwz.**222.org(1,900회) △http://wbm2000.**222.org(1,200회) △http://tubeschina.**222.org(800회) 순이이었다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>