9월 넷째 주 피싱 사이트 2만5,600개...10만명 누리꾼 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 9월 넷째주 2만 5,600여개의 피싱사이트가 발견됐으며, 10만명의 누리꾼이 공격을 받은 것으로 나타났다. 또 이 기간 중국 최대 온라인 메신저 서비스 ‘QQ’로 위장해 컴퓨터 사용자들이 정보보안 회사의 웹사이트를 방문할 수 없게 하고, 다른 많은 바이러스들을 내려 받아 사용자의 여러 인터넷 계정과 비밀번호를 훔치는 새 트로이목마 바이러스 등이 활개를 쳤다.

中 9월 22일~28일 컴퓨터 바이러스 ‘Top 10’

중국 정보보안 회사인 루이싱은 최근 내놓은 ‘주간 바이러스와 보안 추세’ 보고에서 자사 ‘클라우드 보안’ 시스템이 9월 22일부터 28일까지 찾아낸 중국내 컴퓨터 바이러스 가운데 차단비율을 기준으로 ‘Top10’을 뽑아 발표했다.

상위 10위내 바이러스는 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.FakeIELnk △Trojan.Win32.ACAD △Trojan.Script.Lisp.ACAD △Trojan.Win32.SysVenFak 순이었다.

中 주간 주요 컴퓨터 바이러스와 특징

이 기간 중국에서 주목을 받은 바이러스 가운데 하나는 ‘Trojan.Win32.VbUndef.a’ 였다. 이 트로이목마 바이러스는 시스템 경로 ‘C:\windows\system32\jarinet’를 만들고, 중국 유명 온라인 메신저 서비스 ‘QQ’ 프로그램으로 위장하며, 시스템 hosts 파일 내용을 수정한다. 이로써 컴퓨터 사용자가 정보보안회사의 웹사이트를 방문할 수 없게 한다.

동시에 이 바이러스는 레지스트리를 수정해 컴퓨터가 켜지면 자동으로 바이러스가 실행할 수 있게 만든다. 백그라운드에서는 해커가 지정해 놓은 웹주소를 방문해 더욱 많은 바이러스들을 디스크에 내려 받는다. 컴퓨터가 이 바이러스에 감염되면, 사용자의 여러 인터넷 사이트 계정과 비밀번호가 도난 당하는 위험에 처하게 된다.

일별로 중국에서 유행한 바이러스들을 보면, 9월 22일에는 누리꾼이 연 2만5,100명이 루이싱의 ‘클라우드 보안’ 시스템에 바이러스 ‘Trojan.win32.Generic.16E37063’를 신고했다. 이 트로이목마는 인터넷 익스플로러 디렉터리 아래 복제를 하고 이름을 ‘taskmgr.exe’로 바꾼다.

시스템 파일로 위장하고 원래 파일을 삭제한다. 또 레지스트리를 통해 ‘taskmgr.exe’ 파일을 컴퓨터 시작시 자동 실행되도록 설정한다. 이어 백그라운드에서 해커가 지정한 웹주소를 연결해 악성 파일을 컴퓨터에 내려 받는다. 이 악성 파일은 시스템의 보안 취약점을 이용해 컴퓨터 안의 프라이버시 정보를 훔쳐 내어 해커가 지정한 서버로 전송한다.

9월 23일 활개를 친 대표적인 바이러스는 ‘Trojan.Script.VBS.Dole.b’. 이 트로이목마를 루이싱 쪽에 신고한 누리꾼 수는 연 2만4,527명이었다. 이 바이러스는 컴퓨터 사용자가 엑셀(Excel) 프로그램을 열 때 바이러스 파일을 실행시키고, 시작 파일 폴더 안에 복제를 하며, 이 파일이 수시로 업데이트 되도록 한다. 또 컴퓨터 사용자의 파일을 수정해, 악성코드를 사무 문서에 투입시킴으로써 오피스 성능과 정상 기능에 심각한 영향을 끼친다.

지난 24일 중국에서 널리 활동한 바이러스는 ‘Trojan.Win32.Generic.172CB765’였다. 연 2만4,440명의 누리꾼이 이 바이러스를 루이싱에 신고했다. 이 바이러스는 동영상 플레이어로 위장해 사용자를 꾀어 내려 받아 설치토록 한다.

바이러스는 실행 후 해커가 지정한 웹 주소를 열고 파일을 내려 받는다. 동시에 중국 최대 검색 사이트 바이두와 ‘UC’, ‘음악FM’ 같은 웹사이트에 연결해 소프트웨어를 내려 받아 자동으로 설치한다.

또한 이 바이러스는 백그라운드에서 해커가 지정한 웹사이트를 열어 트래픽을 늘린다. 컴퓨터가 이 바이러스에 감염되면, 불필요한 소프트웨어를 강제로 설치하게 되는 동시에 인터넷 속도가 크게 떨어지는 것으로 나타났다.

이어 지난 25일 중국에서 크게 유행한 바이러스는 ‘Worm.Win32.Autorun.txi’ 였다. 누리꾼 연 2만 5,346명이 신고를 했다. 이 웜 바이러스는 U 디스크 등 이동저장장치를 통해 전파되며, 많은 트로이목마를 컴퓨터에 내려 받음으로써 사용자에게 보안 피해를 초래한다.

주말인 9월 26~28일 사흘 동안 활개를 친 바이러스는 24일에도 유행한 ‘Trojan.Win32.Generic.172CB765’ 였다. 연 2만 4,966명이 루이싱 쪽에 신고를 했다.

루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 9월 22일~28일 2만5,601개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전보다 2,300개 가량 늘었다. 피싱 사이트들의 공격을 받은 중국 누리꾼 수는 연인원 10만명에 달했다. 이는 한 주전에 비해 2만명 줄어든 규모다.

특히 중국에서는 유명 인기 TV 프로그램과 대형 은행, 온라인 쇼핑 사이트 등을 가장한 피싱 사이트들도 활개를 쳤다.

대표적으로 인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’를 위장한 피싱 사이트 http://hycws.cc △중국판 오락 TV 프로그램 ‘아빠 어디가’류 http://bbkee.cc △중국 유명 온라인 금전 결제 사이트 ‘즈푸바오’를 사칭한 http://viptaoa.aarxa.com/a1.asp, △중국 최대 온라인 쇼핑몰 타오바오(Taobao)로 위장한 사이트 △대형 은행인 중국공상은행과 중국건설은행을 사칭한 피싱 사이트들이 누리꾼들의 금전 등을 노렸다.

이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있기 때문에 누리꾼들은 클릭해서는 안 된다고 루이싱은 당부했다. 루이싱의 ‘클라우드 보안’ 시스템 통계를 바탕으로 일별 피싱 사이트 발생 상황을 살펴 보면, 9월 22일 연 1만6,831명의 누리꾼이 웹페이지 삽입 트로이목마의 공격을 받았다.

루이싱 쪽은 9.514개의 트로이목마 삽입 웹주소를 탐지했다. 이날 피싱 사이트는 연 1만 5,689명의 누리꾼을 공격했으며, 루이싱은 4,966개의 피싱 웹주소를 발견했다.

루이싱이 뽑은 9월 22일 피싱 사이트 ‘Top5’는 △가짜 타오바오류 피싱 사이트 http://fgfgg.bgyz632.com(사용자 은행 카드 번호와 비밀번호 정보 편취) △가짜 중국 유명 인터넷회사 텅쉰류 http://ju.yolofreshjuice.com/Default.aspx?gretyo=PPh(사용자 은행 카드 번호와 비밀번호 정보 편취) △가짜 온라인 쇼핑류 www.ahnanrui.com(허위 쇼핑 정보로 사용자 금전 편취) △가짜 ‘보이스 오브 차이나류 http://www.haosheng6188.com(가짜 당첨 정보로 사용자를 속여 송금 유도) △가짜 중국공상은행류 피싱 사이트 http://romaniahomes.org(사용자 은행 카드 번호와 비밀번호 정보 편취) 순이었다.

9월 23일에는 연 1만7,951명의 누리꾼이 웹페이지에 삽입된 트로이목마로부터 공격을 받았다. 루이싱 쪽은 8,174개의 트로이목마 삽입 웹페이지를 탐지했다. 또 연 1만7,040명의 누리꾼의 피싱 사이트의 공격을 받았으며, 루이싱은 5,706개의 피싱 웹주소를 찾아냈다.

지난 23일 피싱 사이트 Top5에는 △가짜 타오바오 당첨류 http://zjtt6.com(가짜 당첨 정보로 사용자를 속여 송금 유도) △가짜 텅쉰류 http://j5d.hlytzg.com/index.php?YyTpy&lang= △허위 온라인 쇼핑류 http://lr.hhhz.org/llu △가짜 ‘보이스 오브 차이나’류 http://hsdhs.cc △가짜 중국공상은행류 등이 꼽혔다.

9월 24일에는 누리꾼 연 1만6,402명이 웹페이지 삽입 트로이목마의 공격을 받았으며, 루이싱 쪽은 9,325개의 트로이목마 삽입 웹페이지를 탐지했다. 또 누리꾼 1만6,373명이 피싱 사이트의 공격을 받은 가운데, 루이싱은 4,968개의 피싱 사이트를 발견했다.

이날 24일 피싱 사이트 Top5는 △가짜 타오바오류 www.yulew.cn △가짜 텅쉰류 http://2014520.duapp.com △허위 온라인 쇼핑류 www.qiaoshisui0.com △가짜 ‘보이스 오브 차이나’류 www.bze.xgddv8.wang △가짜 중국공상은행류 www.icbcxyz.com 등이었다.

9월 25일에는 연 2만2,513명의 누리꾼이 웹페이지에 들어 있는 트로이목마의 공격을 받았으며, 루이싱의 ‘클라우드 보안’ 시스템은 1만3,078개의 트로이목마 삽입 웹페이지를 찾아냈다. 이와 함께 연 2만1,224명의 누리꾼이 피싱 사이트로부터 공격을 당했고, 루이싱 쪽은 6,635개의 피싱 웹주소를 탐지했다.

지난 25일 피싱 사이트 Top5에는 △가짜 텅쉰류 http://2014520.duapp.com △가짜 온라인 쇼핑류 www.qiaoshisui0.com △가짜 ‘보이스 오브 차이나’류 www.cbf-js-4574.com △가짜 중국건설은행류 http://aken.chzargve.com/app/ccbMain △가짜 의약류 www.jxxwj.com 등이 포함됐다.

주말인 9월 26일~28일 사흘 동안에는 연 6만4,250명의 누리꾼이 웹페이지에 삽입된 트로이목마의 공격을 받았으며, 루이싱은 3만3,217개의 트로이목마 삽입 웹주소를 탐지했다. 아울러 연 5만2,687명의 누리꾼이 피싱 사이트의 공격을 받았으며, 루이싱 쪽은 1만4,858개의 피싱 웹주소를 차단했다고 밝혔다.

이 사흘 동안 중국내 피싱 사이트 Top5로는 △가짜 ‘보이스 오브 차이나’류 www.haoss2014gg.com △가짜 중국공상은행류 http://923.yaoxinkeji.net △가짜 온라인 쇼핑류 www.xilishicn.net △가짜 ‘아빠 어디가’류 www.hbbnrtv.com △가짜 텅쉰류 http://30wqb.com 등이 지목됐다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>