개인정보와 인터넷 계정·비밀번호 훔치는 트로이목마 활개

피싱 사이트 3만1,000개 발견...12만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 10월 둘째주에 약 3만 1,000개의 피싱 사이트가 탐지됐으며, 12만 명의 누리꾼이 피싱 사이트의 공격을 받은 것으로 나타났다. 또한 이 기간 컴퓨터 사용자들의 민감한 정보와 여러 인터넷 계정·비밀번호를 훔치는 트로이목마 바이러스들이 지속적으로 출현했다.

中 10월 둘째 주컴퓨터 바이러스 ‘Top 10’

중국 정보보안 회사인 루이싱은 최근 내놓은 보고에서 자사 ‘클라우드 보안’ 시스템이 10월 6일부터 12일까지 찾아낸 중국내 컴퓨터 바이러스 가운데 차단비율을 기준으로 ‘Top10’을 뽑았다.

상위 10위내 바이러스는 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.SysVenFak △Trojan.Win32.ACAD △ Trojan.FakeIELnk △ Win32.KUKU 순이었다.

10월 둘째 주 중국에서 널리 퍼지고 주목을 받은 바이러스 가운데 하나는 ‘Trojan.Win32.Nodef.lfl’ 였다. 이 트로이목마는 파일 폴더 아이콘으로 위장해 컴퓨터 사용자를 끌어 들여 클릭하게 하는 것으로 드러났다.

또 활동 개시 후엔 시스템 파일 폴더 아래 자아 복제를 하며, 레지스트리를 수정해 컴퓨터가 시작하면 자동으로 실행되게 한다. 이어 ‘Trojan.Win32.Nodef.lfl’는 컴퓨터 사용자의 민감한 정보와 인터넷 계정·비밀번호를 수집해서, 해커가 지정한 웹주소로 발송한다. 루이싱은 이 바이러스의 경계 정도로 별 다섯 개 가운데 네 개를 매겼다.

10월 둘째 주 동안 일별로 중국에서 널리 퍼진 바이러스들을 보면, 지난 8일에는 ‘Worm.Win32.VobfusEx.e’가 꼽혔다. 루이싱의 ‘클라우드 보안’ 시스템은 연 2만4,825명의 누리꾼들로부터 이 바이러스에 대한 신고를 받았다고 밝혔다.

이 웜 바이러스는 파일 폴더 아이콘으로 위장해 사용자를 속여 클릭하게 하는데, 시스템 디렉터리 아래 여러 파일들을 만들고 ‘%System32%’ 파일 아래 복제를 실행한 다음 ‘system3_.exe’로 이름을 바꾼다.

또 ‘Worm.Win32.VobfusEx.e’는 레지스트리를 수정해 컴퓨터 시작과 함께 자동 실행되도록 하며, 여러 디스크 디렉터리 아래 복제를 한다. 이어 컴퓨터 사용자의 민감한 정보들을 수집해, 해커가 지정해 놓은 웹주소로 전송하는 것으로 밝혀졌다.

지난 9일 중국에서 널리 퍼진 대표적인 트로이목마 바이러스로는 ‘Trojan.Win32.Generic.16B45D4B’ 였다. 루이싱 쪽은 연 2만5,891명의 컴퓨터 사용자들로부터 이 바이러스에 대한 신고를 접수했다고 밝혔다.

이 바이러스는 인트라넷의 운행 상황을 모니터링하고 컴퓨터 사용자의 중요 정보를 수집해, 해커가 지정한 웹주소로 보낸다. 동시에 다른 악성 프로그램들을 컴퓨터에 내려 받는다. 

이어 주말이었던 10일~12일 중국에서 널리 유행한 대표적인 트로이목마 바이러스는 ‘Trojan.Win32.VbUndef.a’ 였다. 중국내 컴퓨터 사용자 연 2만4,850명이 이 바이러스를 루이싱 쪽에 신고했다.

이 바이러스는 시스템 경로 ‘C:\windows\system32\jarinet’를 만들고 중국 최대 온라인 메신저 프로그램 ‘QQ’으로 위장하며 시스템 hosts 파일 내용을 수정해, 사용자들이 정보보안 회사의 웹사이트를 방문할 수 없도록 만든다. 동시에 이 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 자동 실행되도록 하며, 백그라운드에서 해커가 지정한 웹주소를 방문해 더 많은 바이러스들을 컴퓨터에 내려 받는 것으로 드러났다.

루이싱은 ‘클라우드 보안’ 시스템을 써서 지난 6일부터 12일까지 3만 943개의 피싱 사이트를 찾아냈다고 밝혔다. 한 주 전에 비해 5,300개 늘어난 규모다. 이 기간 피싱 사이트들로부터 공격을 받은 누리군 수는 연인원 12만 명에 달했다. 한 주전 보다 무려 2만명 증가했다.

특히 10월 둘째 주에서도 역시 대형 은행과 인터넷 쇼핑몰, 인기 TV 프로그램을 사칭해 누리꾼들을 속여 금전과 중요 정보들을 노리는 피싱 사이트들이 활개를 쳤다.

중국 최대 온라인 쇼핑몰 타오바오(Taobao)의 당첨 정보를 내세워 누리꾼들을 속인 피싱 사이트 www.chfcctv.com △중국 유명 인터넷 메신저·게임·포털업체인 텅쉰으로 가장한 http://avdy.org △인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’를 위장한 피싱 사이트 www.zhnzhnguoguo.com 등이 대표적이었다.

이들 피싱사이트에는 바이러스나 트로이목마가 들어 있기 때문에 클릭해서는 안 된다고 루이싱은 강조했다.

루이싱의 ‘클라우드 보안’ 시스템 통계를 바탕으로 일별 피싱 사이트 발생 상황을 살펴 보면, 10월 8일 중국 누리꾼 연 1만7,789명이 웹페이지 삽입 트로이목마의 공격을 받았고 루이싱은 8,218개의 트로이목마 삽입 웹주소를 찾아냈다. 아울러 연 1만5,593명의 누리꾼이 피싱 사이트로부터 공격을 당했고, 루이싱의 보안 시스템은 4,371개의 피싱 웹주소를 탐지했다.

지난 8일 중국내 피싱 사이트 ‘Top5’로는 △TV 프로그램 ‘아빠 어디가’를 사칭한 http://yixinzn.com(허위 당첨 정보로 사용자를 속여 송금 유도) △유명 인터넷업체 텅쉰을 사칭한 http://rymvlxg.com/?AZIQG=95489(사용자의 계정과 비밀번호 정보 훔침)  △허위 의약류인 www.315oudifu.com(허위 의약 정보로 사용자를 속여 송금 유도) △허위 온라인 구매류 http://wap.zzmie.com(허위 온라인 구매 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://204.44.104.171/ (사용자 은행 카드 번호와 비밀번호 정보 편취) 등의 순이었다.

지난 9일에는 연 2만1,855명의 누리꾼이 웹페이지에 들어간 트로이목마로부터 공격을 당했다. 루이싱의 보안 시스템은 트로이목마가 삽입된 웹주소 1만1,484개를 발견했다. 또 연 1만6,439명의 누리꾼이 피싱 사이트의 공격을 받았으며, 루이싱 쪽은 4,512개의 피싱 웹주소를 찾아냈다.

이날 피싱 사이트 ‘Top5’에는 △TV 프로그램 ‘아빠 어디가’를 사칭한 http://bb.naerc.cc/ △텅쉰을 사칭한 http://pengboshidai.cn/_tpl/1/05/index.php?user=BZEz9 △허위 의약류인 www.nnmdd.com/mrjhy/ △가짜 온라인 구매류인 http://www.dongshiyijue.com/ △중국공상은행을 사칭한 http://23.228.102.130/ 등이 포함됐다.

주말이었던 10일~12일 사흘 동안에는 연 5만6,711명의 누리꾼이 웹페이지에 들어간 트로이목마로부터 공격을 받았으며, 루이싱 쪽은 2만6,080개의 트오이목마 삽입 웹주소를 탐지했다. 또 주말 동안 연 5만917명의 누리꾼이 피싱 사이트의 공격을 받았고, 루이싱은 1만1,861개의 피싱 웹주소를 발견했다.

이어 10일~12일 주말 기간 피싱 사이트 ‘Top5’에는 △가짜 ‘보이스 오브 차이나’류인 http://zghaosyikv.com(허위 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://23.80.182.182 △허위 의약류www.szyufu.com/mrjhy △중국판 오락 TV 프로그램 ‘아빠 어디가’류 http://bb.naerc.cc/ △텅쉰을 사칭한 http://rymvlxg.com/?RPIVT=93242 등이었다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>