피싱 사이트 2만5,300여개...12만명 누리꾼 피해
[보안뉴스 온기홍=중국 베이징] 중국에서 9월 셋째 주 2만5,300여개의 피싱 사이트가 발견됐으며, 12만명의 누리꾼이 공격을 받은 것으로 나타났다. 또 이 기간 컴퓨터 사용자의 개인정보와 인터넷 뱅킹 비밀번호를 빼내 해커에게 보내는 ‘Generic’란 이름의 새 바이러스가 탐지됐다.
中 9월 15일~21일 컴퓨터 바이러스 ‘TOP 10’
중국 정보보안 회사인 루이싱은 23일 내놓은 ‘주간 바이러스와 보안 추세’ 보고에서 자사 ‘클라우드 보안’ 시스템이 9월 15일~21일 찾아낸 컴퓨터 바이러스 가운데 차단비율을 기준으로 ‘Top10’을 뽑아 발표했다.
상위 10위내 바이러스는 △Hack.Exploit.Script.JS.Bucode △Trojan.Win32.FakeUsp △Hack.Exploit.Win32.MS08-067 △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.FakeIELnk △Trojan.Win32.ACAD △Trojan.Win32.SysVenFak △Trojan.Script.Lisp.ACAD △Trojan.Win32.KUKU 순으로 나타났다.
|
|
|
▲ 9월 15일~21일 중국 루이싱이 차단 횟수 기준으로 뽑은 ‘중국 컴퓨터 바이러스 TOP10’ |
中 주간 주요 컴퓨터 바이러스와 특징
지난 한 주 중국에서 주목을 받은 바이러스 가운데 하나는 ‘Trojan.Win32.Generic.16B45D4B’ 였다. 이 트로이목마 바이러스는 인트라넷 운행 상황을 모니터링하고 사용자의 민감한 정보들을 모아서 해커가 지정한 웹주소로 보내는 것으로 밝혀졌다.
동시에 이 바이러스는 다른 악성 프로그램들을 컴퓨터에 내려 받는다. 컴퓨터가 이 바이러스에 감염되면, 중요한 정보들이 유출되고 인터넷 뱅킹 계정과 비밀번호가 도난 당하는 위험에 처할 수 있다고 루이싱은 지적했다.
일별로 중국내 유행 바이러스들을 살펴보면, 지난 15일 중국에서 가장 유행한 바이러스는 ‘Trojan.Script.VBS.StartPage.ut’ 였다. 루이싱의 ‘클라우드 보안’ 시스템은 연 2만5,100명으로부터 이 바이러스에 대한 신고를 받았다.
백도어 바이러스인 ‘Trojan.Script.VBS.StartPage.ut’는 시스템 파일을 이용해 바이러스 스크립트를 싣고 바탕화면의 모든 바로가기를 변조한다. 또 사용자를 유사 정상 아이콘을 클릭하게 한 다음 바이러스를 실행시키고, 해커가 지정한 악성 웹사이트를 방문하게 한다.
바이러스가 모든 바탕화면의 바로가기를 변조하기 때문에 사용자는 모르는 사이 악성 웹사이트를 방문하게 된다. 이로써 컴퓨터 속도는 느려지게 되고 인터넷 속도 역시 떨어지며, 나아가 악성 웹사이트 방문 뒤 컴퓨터는 대량의 트로이목마를 내려 받게 될 수 있다.
이어 지난 16일 중국에서 유행한 바이러스 가운데 하나는 ‘Trojan.Script.VBS.StartPage.uu’다. 이 백도어 바이러스에 대한 누리꾼의 신고 횟수는 연 2만4,855회에 달했다. 이 바이러스도 ‘Trojan.Script.VBS.StartPage.ut’과 같은 악성 행위를 벌이는 것으로 나타났다.
9월 17일 중국에서 가장 널리 유행한 바이러스는 ‘Trojan.PSW.Win32.QQPass.fnq’였다. 누리꾼 연 2만4,726명이 이 백도어 바이러스를 신고했다. 이 바이러스는 백그라운드에서 사용자의 입력 내용을 감시한다. 또 기회를 틈타 사용자의 중국 내 최대 온라인 메신저인 ‘QQ’ 계정과 비밀번호를 훔쳐서 해커 쪽에 발송하는 것으로 밝혀졌다.
지난 18일 중국에서 널리 퍼진 바이러스는 ‘Worm.Win32.FakeFolder.cm’ 였다. 이 백도어 바이러스를 신고한 누리꾼은 연 2만4,441명에 달했다. 이 바이러스는 바이러스 퇴치 프로그램을 피하는 동시에 보안 프로그램의 진행 과정을 중단시키려고 한다.
나아가 보안 프로그램의 아이콘을 삭제함으로써 이를 감출 수도 있다. 이 바이러스 제작자는 바이러스가 수동으로 삭제되는 것을 피하기 위해 OS의 보안 모드를 파괴하고, 사용자가 레지스트리 편집기를 열 수 없게 한다.
최종적으로 ‘Worm.Win32.FakeFolder.cm’ 바이러스는 바탕화면에 여러 피싱 사이트의 바로가기를 새로 만들어 사용자들이 해커가 지정한 웹사이트를 방문하게 함으로써, 경제적 이익을 노리는 것으로 나타났다.
지난 주말 19~21일 중국에서 가장 유행한 바이러스 가운데 하나는 ‘Trojan.Win32.VbUndef.a’ 였다. 중국 누리꾼 연 2만4,705며이 이 이 트로이목마 바이러스를 루이싱 쪽에 신고했다. 이 바이러스는 호스트(hosts) 파일을 수정하고 여러 보안 솔루션 회사의 웹주소를 없애 컴퓨터 사용자들이 이들 웹사이트를 방문하는 것을 막는다.
또 이 바이러스는 레지스트리를 수정해 컴퓨터가 켜지면 자동으로 활동 개시하며, 백그라운드에서 해커가 지정한 웹주소에 연결해 다른 많은 악성 바이러스를 내려 받는다. 컴퓨터가 ‘Trojan.Win32.VbUndef.a’ 바이러스에 감염될 경우 프라이버시 정보 유출과 각종 인터넷 계정 및 비밀번호 도난 위험에 놓이게 된다.
|
|
|
▲ 9월 15일~21일 일별 중국내 유행 바이러스(출처:중국 정보보안회사 루이싱) |
中 9월 셋째 주 피싱 사이트
루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 9월 15일~21일 2만3,334개의 피싱 사이트를 찾아냈다고 밝혔다. 피싱 사이트로부터 공격을 받은 중국 누리꾼 수는 연인원 12만명이었다. 한 주 전과 견주어 피싱 사이트 수는 6,700개 가량 줄고, 피해자 수는 비슷했다.
루이싱이 ‘클라우드 보안’ 시스템을 써서 24일 하루 차단 횟수를 기준으로 뽑은 피싱 사이트 ‘Top5’는 다음과 같은 순으로 나타났다.
△www.**gss.com/soft/ajaxpost.asp
△**jxw0739xw0739w07390739739399.**cpp.net
△**5.**p100657642100657642006576420657642657642576427642642422.
qqopenapp.com/default.aspx
△**6.**p100657642100657642006576420657642657642576427642642422.
qqopenapp.com/default.aspx
△**8.**p100657642100657642006576420657642657642576427642642422.
qqopenapp.com/default.aspx
|
|
|
▲ 중국 정보보안회사 루이싱이 지난 9월 15일~21일 탐지한 주요 피싱 사이트 |
中 유명 TV프로·은행·쇼핑 사칭한 피싱 사이트 활개
또한 지난 주 중국 내륙에서는 유명 인기 TV 프로그램과 대형 은행, 온라인 쇼핑 사이트 등을 가장한 피싱 사이트들도 활개를 쳤다. 지난 주에도 인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’를 위장한 피싱 사이트 http://syxtwg.cc △중국판 오락 TV 프로그램 ‘아빠 어디가’류 http://htznbb.com △허위 의약류 △www.gdzqsz.com/sh 등이 피싱 사이트들이 누리꾼들을 노렸다.
일별 피싱 사이트 발생 상황을 보면, 지난 15일 하루 동안 연 2만4,764명의 누리꾼이 웹페이지내 트로이목마의 공격을 받았다. 루이싱의 ‘클라우드 보안’ 시스템은 1만2,135개의 트로이목마 삽입 웹페이지를 탐지했다. 연 1만5,671명이 피싱 사이트로부터 공격을 당했다. 루이싱 쪽은 5,331개의 피싱 웹주소를 찾아냈다.
지난 15일 유행한 피싱 사이트 Top5는 △가짜 ‘아빠 어디가’류 http://babyh.cc △가짜 타오바오류 http://tk.bfszvq.com △가짜 즈푸바오류 http://ws.zyevh.com/b1.asp △가짜 ‘보이스 오브 차이나’류 www.hsukfa.com △가짜 중국공상은행류 등이었다.
지난 16일에는 연 2만3,679명의 누리꾼이 웹페이지내 트로이목마로부터 공격을 당했다. 루이싱의 ‘클라우드 보안’ 시스템은 1만1,649개의 트로이목마 삽입 웹페이지를 찾아냈다. 모두 연 1만9,468명이 피싱 사이트의 공격을 받았고, 루이싱은 6,124개의 피싱 웹주소를 탐지했다.
16일 하루 피싱 사이트 Top5는 △가짜 ‘즈푸바오’류 http://bzicmob.com/web/xfgcvju.asp?id=179 △가짜 금액 충전류 hwww.cneri.net(허위 금액 충전으로 사용자를 속여 금전 편취) △가짜 의약류 www.kuailegow.net/mymi △가짜 ‘보이스 오브 차이나’류 http://shaopd.com △가짜 중국공상은행류 http://103.246.246.196 순이었다.
지난 17일에는 연 2만1,375명의 누리꾼이 웹페이지에 삽입된 트로이목마의 공격을 받았다. 루이싱의 ‘클라우드 보안’ 시스템은 1만998개의 트로이목마 삽입 웹페이지를 탐지했다. 연 1만3,857명이 피싱 사이트의 공격을 받았다. 루이싱 쪽은 4,400개의 피싱 웹주소를 발견했다.
17일 피싱 사이트 Top5는 △가짜 ‘즈푸바오’류 http://viptaoa.aarxa.com/a1.asp △가짜 ‘아빠 어디가’류 http://bbkee.cc △가짜 중국건설은행류 http://8600game.com/ccb.asp △가짜 ‘보이스 오브 차이나’류 http://hycws.cc △가짜 중국공상은행류 http://xiv8r.47267.whyweliveit.org 등이었다.
지난 18일 하루 동안 연 2만2,335명의 누리꾼이 웹페이지내 트로이목마의 공격을 받았다. 루이싱 쪽은 1만1,299개의 트로이목마 삽입 웹페이지를 탐지했다. 연 1만7,510명이 피싱 사이트의 공격을 받았다. 루이싱은 5,602개의 피싱 웹주소를 발견했다.
18일 피싱 사이트 Top5는 △가짜 ‘즈푸바오’류 www.mucdms.com △가짜 ‘아빠 어디가’류 www.rnsczv.com △가짜 의약류 www.gdzqsz.com/sh △가짜 ‘보이스 오브 차이나’류 http://haowsc.cc △가짜 중국공상은행류 http://xss1.com/ 등이었다.
지난 19일에서 21일까지 주말 사흘 동안에는 연 5만8,233명의 누리꾼이 웹페이지내 트로이목마의 공격을 받았다. 루이싱은 2만6,948개의 트로이목마 삽입 웹페이지를 발견했다고 밝혔다. 또 연 5만6,987명의 누리꾼이 피싱 사이트 공격을 받았다. 루이싱은 1만3,162개의 피싱 웹주소를 탐지했다.
루이싱이 지난 19~21일 차단 횟수를 바탕으로 선정한 중국내 유행 피싱 사이트 ‘Top5’은 △가짜 ‘보이스 오브 차이나’류 www.hsyws.cc(허위 당첨 정보로 사용자 속여 송금 유도) △가짜 중국공상은행류 http://pinya56.com(사용자 은행 카드 번호와 비밀번호 정보 편취) △가짜 의약류 http://haobaidu.duapp.com/fl793/39lhc(허위 의약 정보로 사용자 금전 편취) △가짜 유명 온라인 결제 사이트 ‘즈푸바오’(Alipay)류 http://bkxwe.com:10520/a1.asp?rsid=3819(사용자 은행 카드 번호와 비밀번호 정보 편취) △가짜 유명 온라인 쇼핑 사이트 ‘타오바오’(Taobao)류 http://tzzist.com:10520/login.asp?tk= (사용자 은행 카드 번호와 비밀번호 정보 편취) 등이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
