컴퓨터 사용자 중요 정보와 인터넷뱅킹 금전 절취 바이러스 활개

피싱 사이트 2만3,200개 탐지...누리꾼 11만명 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 10월 넷째 주 2만 3,200개의 피싱 사이트가 탐지됐고 누리꾼 11만 명이 피싱 사이트의 공격을 받은 것으로 나타났다. 지난 주에는 또 보안 프로그램으로 위장해 컴퓨터에 설치된 다음 해커가 지정한 웹 주소에서 다른 바이러스 프로그램들을 컴퓨터에 내려 받아 인터넷뱅킹과 개인의 정보들을 빼내는 웜 바이러스 등이 중국 누리꾼들을 공격했다.

中 10월 넷째 주 컴퓨터 바이러스 ‘Top 10’

중국 정보보안 전문회사인 루이싱은 자체 ‘클라우드 보안’ 시스템을 써서 10월 20일부터 26일까지 탐지한 중국내 컴퓨터 바이러스 가운데 차단비율을 바탕으로 ‘Top10’을 뽑아 28일 발표했다.

지난 주 컴퓨터 바이러스 Top10는 △ Hack.Exploit.Script.JS.Bucode △ Trojan.Win32.FakeUsp △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.FakeIELnk △Trojan.Win32.ACAD △Trojan.Script.Lisp.ACAD △AdWare.Win32.Zhongsou 순이었다.

中 넷째 주 주요 컴퓨터 바이러스와 특징

특히 지난 한 주 동안 중국에서 널리 퍼져 주목을 받은 대표적인 바이러스는 ‘Worm.Win32.Autorun.ttg’였다. 이 바이러스는 보안 S/W로 위장해 시스템 파일 폴더 안에 복사하고 동시에 컴퓨터 사용자의 본래 파일 폴더로 위장하며, 모든 디스크 안에 복사를 진행하는 것으로 알려졌다.

복사된 파일 폴더는 숨김과 읽기 속성으로만 설정된다. 이 바이러스는 또 레지스트리를 수정해 컴퓨터가 시작하면 자동으로 활동을 개시하고, 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시켜 다른 바이러스 프로그램을 내려 받는다.

컴퓨터가 이 바이러스에 감염되면 작동 속도가 느려지고 네트워크 자원도 대량 점용되며 민감한 정보와 인터넷뱅킹 계정·비밀번호가 도난 당할 위험에 놓이게 된다. 루이싱은 이 바이러스에 대한 경계 정도로 별 다섯 개 가운데 세 개를 매겼다.

일별로 중국에서 널리 퍼진 바이러스들을 보면, 먼저 10월 20일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Trojan.Win32.Generic.16E9B581’ 였다. 루이싱의 보안 시스템은 연 2만5,009명으로부터 이 바이러스에 대한 신고를 받았다.

이 바이러스는 파일 폴더 아이콘으로 위장해 사용자를 유인해 클릭하게 하며, 시스템 자원을 대량 소모시키고 네트워크를 점용하면서 컴퓨터 작동 속도와 인터넷 속도가 크게 떨어지게 만든다.

이 바이러스는 또 컴퓨터를 해커가 지정해 놓은 웹주소에 연결시켜 다른 바이러스를 다운로드 한다. 이어 사용자의 인터넷뱅킹 계정과 비밀번호를 훔치고, 여러 인터넷 계정과 비밀번호 정보들도 수집한다. 컴퓨터가 이 바이러스에 감염될 경우 시스템이 붕괴되고 민감한 정보들이 유출되며 인터넷뱅킹이 위험에 처하게 된다고 루이싱은 밝혔다.

이어 21일 중국에서 활개를 친 대표적 바이러스 바이러스로는 ‘Worm.Script.VBS.Agent.cc’가 꼽혔다. 연 2만5,420명이 신고한 이 웜 바이러스는 컴퓨터 내 여러 디렉터리에 스스로 복사를 하고, 컴퓨터가 시작하면 자동 실행하도록 설정한다.

또 컴퓨터 사용자가 ‘txt’, ‘chm’, ‘reg’를 열 때 바이러스 프로그램이 먼저 실행되도록 만들고, 컴퓨터를 해커가 지정한 웹주소에 연결시켜 더 많은 악성 프로그램들을 내려 받는다.

지난 22일 중국에서 크게 활동한 바이러스로는 ‘Trojan.PSW.Win32.AliPay.pn’가 지목됐다. 이 바이러스를 신고한 컴퓨터 사용자는 연 2만5,123명에 달했다. 이 바이러스는 인터넷쇼핑 소프트웨어의 보안 프로그램과 마이크로소프트의 업데이트 프로그램을 찾아 중지시킨다.

또 좀비 프로그램을 만들어 악성 파일을 실행시키면서 금전 결제 주문서를 변조시킨다고 루이싱은 설명했다. 이 바이러스에 감염된 컴퓨터는 사용자가 전혀 모르는 상황에서 이동전화 요금 충전카드를 구매하고, 이어 카드 번호와 비밀번호를 해커가 지정해 놓은 서버로 보내는 것으로 알려졌다.

중국에서 10월 23일 활개를 친 대표적 바이러스는 ‘Trojan.Win32.Nodef.lfl┖가 지목됐다. 연 2만5,334명이 신고했다. 이 바이러스는 파일 폴더 아이콘으로 위장해서 사용자를 유인해 클릭하게 한다. 이어 시스템 파일 폴더 아래 복사하고, 레지스트리를 수정해 컴퓨터가 시작하면 자동 활동할 수 있게 한다. 이 바이러스는 또 컴퓨터 사용자의 중요 정보와 인터넷 계정·비밀번호를 수집해 해커가 정한 웹주소로 보낸다.

지난 24~26일 사흘 동안 중국에서 널리 퍼진 바이러스 가운데 하나는 ‘Trojan.FakeWord.b’였다. 연 2만4,299명이 신고한 이 바이러스는 워드(word) 문서로 위장해 사용자를 속이며, 레지스트리를 수정해 컴퓨터가 시작하면 자동 활동 개시할 수 있게 한다.

또 이 바이러스는 ‘스케줄(Schedule)’ 서비스로 이름을 바꾸고, 인터넷 대화 프로그램인 스카이프(Skype) 계정 절취 S/W를 투입시킨다. 이 바이러스가 유관 정보들을 얻게 되면, 사용자의 스카이프 계정과 비밀번호를 해커가 정해 놓은 웹주소로 보내는 것으로 밝혀졌다.

中 10월 넷째 주 주요 피싱 사이트

루이싱은 자사 ‘클라우드 보안’ 시스템이 20일부터 26일까지 2만3,204개의 피싱 사이트를 찾아냈다고 밝혔다. 한 주 전에 비해 430개 가량 늘었다. 또 지난 주 중국에서 피싱 사이트들로부터 공격을 받은 누리꾼 수는 연인원 11만 명으로 나타났다. 전 주에 견줘 1만 명 늘었다.

특히 지난 주에도 중국내 인기 TV 프로그램과 대형 은행, 유명 인터넷 쇼핑몰, 온라인 금전 결제 사이트 등을 사칭해 누리꾼들을 속여 금전과 인터넷 계정·비밀번호, 개인정보를 훔치려는 피싱 사이트들이 누리꾼들을 노렸다. 이들 피싱 사이트는 모두 바이러스나 트로이목마를 갖고 있기 때문에 누리꾼들은 클릭 해서는 안 된다고 루이싱은 강조했다.

루이싱의 ‘클라우드 보안’ 시스템이 뽑은 지난 주 일별 주요 피싱 사이트들을 보면, 먼저 10월 20일에는 연 1만8,583명의 누리꾼이 웹페이지에 침입한 트로이목마로부터 공격을 당했다. 루이싱 쪽은 1만314개의 트로이목마 삽입 웹페이지를 찾아냈다. 또한 연 1만4,591명의 누리꾼이 피싱 사이트의 공격을 받았으며, 루이씽은 4,862개의 피싱 웹주소를 탐지했다.

루이싱이 뽑은 20일 중국내 피싱 사이트 Top5는 △ 중국 최대 온라인 금전 결제 사이트 즈푸바오로 가장한 http://122.10.20.205/a1.asp (사용자의 계정과 비밀번호 정보 훔침) △가짜 온라인 구매류 www.adfjld.com/qf(허위 구매 정보로 사용자의 금전 훔침) △허위 의약류 http://hj.hkyou668.com(허위 의약정보로 사용자에게 송금 유도) △중국 CC-TV 프로그램 ‘추차이 중국인’을 가장한 http://cczgrqq.8uxiaohuang.com/ (허위 당첨 정보로 사용자의 금전을 편취) △중국건설은행을 사칭한 http://wls.lnufgkp.com/app/ccbMain/ (사용자의 은행 카드 번호와 비밀번호 정보 훔침) 등이었다.

지난 21일에는 중국 누리꾼 연 1만9,545명이 웹페이지에 삽입된 트로이목마로부터 피해를 입었으며, 루이싱의 보안 시스템은 9,990개의 트로이목마 삽입 웹주소를 찾아냈다. 아울러 누리꾼 연 2만445명은 피싱 사이트의 공격을 경험했고, 루이싱 쪽은 5,394개의 피싱 웹주소를 찾아냈다.

이날 피싱사이트 Top5는 △온라인 결제 사이트 즈푸바오를 사칭한 http://122.10.20.210/a1.asp △허위 온라인 구매류 http://wap.chinadushu.com/ △허위 의약류 www.fengtinglier.net △TV 프로그램 ‘추차이 중국인’을 가장한 http://geaeeqa.hostmcj8dhe3.wuxingadmin.com/ △중국공상은행을 사칭한 http://108.171.255.198(사용자의 카드 계정과 비밀번호 정보 훔침) 등으로 나타났다.

이어 10월 22일에는 연 1만7,694명의 누리꾼이 웹페이지에 내장된 트로이목마의 공격로부터 공격을 당했으며, 루이싱의 보안 시스템은 9,954개의 트로이목마 삽입 웹주소를 탐지했다. 이날 연 1만6,443명이 피싱 사이트의 공격을 받았고, 루이싱 쪽이 탐지한 피싱 웹주소는 4,898개에 달했다.

루이싱 쪽이 뽑은 이날 피싱 사이트 상위 5개는 △중국 최대 온라인 쇼핑몰 타오바오(Taobao)를 사칭한 http://122.10.20.199/refund.html(사용자의 계정과 비밀번호 정보 훔침) △가짜 온라인 구매류 http://wap.lawsup.cn △가짜 의약류 http://bem.jlyjmy.com/Maincn.asp(허위 의약 정보로 사용자를 속여 송금 유도) △인기 노래 오디션 TV 프로그램 ‘보이스 오브 차이나’를 위장한 www.haohhx.com(허위 당첨 정보로 사용자를 속여 송금 유도) △중국건설은행을 가장한 www.xiongdi158pt.com/ccccbb.asp(사용자 은행 카드와 비밀번호 정보를 편취)로 나타났다.

이어 지난 23일에는 중국 누리꾼 연 2만400명이 웹페이지에 숨은 트로이목마의 공격을 받았으며, 1만261개의 트로이목마 삽입 웹주소가 루이싱에 의해 발견됐다. 또 연 1만8,088명이 피싱 사이트로부터 피해를 겪었고, 루이싱 쪽은 4,571개의 피싱 웹주소를 발견했다.

루이싱이 선정한 23일 피싱 사이트 Top5는 △가짜 ‘타오바오’류 http://122.10.20.200/refund.html △허위 온라인 구매류 www.dkmol.cc △허위 의약류 http://laoliguo.xmzrkj.cn △중국판 TV 오락 프로그램인 ‘아빠 어디가’를 사칭한 www.hnbbrtv3.com(허위 당첨 정보로 사용자를 속여 송금 유도) △가짜 중국공상은행류 http://90018.ji788.com/login.asp 등이었다.

지난 주말(24~26일)에는 연 4만7,400명의 중국 누리꾼이 웹페이지에 들어간 트로이목마의 공격을 받았다. 루이싱의 보안시스템은 트로이목마가 삽입된 웹주소 2만3,213개를 찾아냈다. 아울러 사흘 동안 중국 누리꾼 연 5만1,466명이 피싱 사이트로부터 공격을 받았고 루이싱 쪽은 1만3,443개의 피싱 웹주소를 탐지했다.

10월 24일~26일 피싱 사이트 상위 5개는 △온라인게임을 가장한 www.gankuailu.com(사용자의 계정과 비밀번호 정보 훔침) △허위 온라인 구매류 http://5.crzls.com △허위 의약류 www.vip1.megou999.com/chula △중국이동통신의 당첨을 사칭한 http://wap.10086ck.net(가짜 당첨 정보로 사용자의 금전을 훔침) △중국공상은행을 사칭한 http://198.74.106.130/ 이었다.

△**jxw0739xw0739w07390739739399.**cpp.net

△**5.**p100657642100657642006576420657642657642576427642642422.

qqopenapp.com/default.aspx

△**6.**p100657642100657642006576420657642657642576427642642422.

qqopenapp.com/default.aspx

△www.**gss.com/soft/ajaxpost.asp

△**8.**p100657642100657642006576420657642657642576427642642422.

qqopenapp.com/default.aspx

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>