인터넷 브라우저 변조·컴퓨터자원 점용·악성광고 팝업 바이러스 출현

[보안뉴스 온기홍=중국 베이징] 중국에서 10월 27일~11월 2일 사이 2만5,500여 개의 피싱 사이트가 발견됐으며, 누리꾼 11만 명이 피싱 사이트로부터 공격을 받은 것으로 나타났다.

또 이 기간 중국에서는 구글 크롬, 인터넷 익스플로러, 파이어폭스 같은 유명 브라우저들의 검색을 변조시키고 컴퓨터 자원을 대량 점용하며 악성 광고 팝업창을 띄우는 바이러스가 출현해 사용자들에게 피해를 입혔다.

中 10월 27일~11월 2일 컴퓨터 바이러스 ‘Top 10’

중국 정보보안서비스 회사인 루이싱은 자체 ‘클라우드 보안’ 시스템을 써서 10월 27일부터 11월 2일까지 찾아낸 중국내 컴퓨터 바이러스 가운데 차단비율을 기준으로 ‘Top10’을 뽑아 발표했다.

컴퓨터 바이러스 톱10에는 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △RootKit.Win32.ObscureU △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Backdoor.Win32.RemotePC △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △RootKit.Win32.Agent △Packer.Win32.UnkPacker 순으로 포함됐다.

주간 주요 컴퓨터 바이러스와 특징

이 기간 중국에서 널리 퍼지면서 주목을 받은 대표적인 바이러스는 ‘Adware.iBryte!4849’ 였다. 이 바이러스는 구글 크롬(Google Chrome), 인터넷 익스플로러(Internet Explorer), 파이어폭스(FireFox) 같은 브라우저의 검색을 변조시키며 백그라운드에서 해커가 지정해 놓은 웹주소를 연결해 트래픽을 늘리는 것으로 밝혀졌다.

또 컴퓨터에 강제적으로 악성 광고 팝업창을 띄운다. 이어 브라우저에 강제로 도구란을 설치하고, 브라우저 홈페이지를 변조시킨다. 일별로 주요 컴퓨터 바이러스들을 살펴보면, 10월 27일에 중국에서 가장 유행한 바이러스로는 Trojan.Win32.Generic.144EE02D가 꼽혔다. 루이싱의 ‘클라우드 보안’ 시스템은 연 2만4,600명으로부터 신고를 받았다.

이 바이러스는 중국에서 유명한 동영상 플레이어 S/W 중의 ‘dll’ 파일을 악성 dll로 바꾸고 보안프로그램의 탐지·퇴치를 피한다. 또 프로그램에 악성 dll를 추가한 뒤 원격으로 해커가 지정한 서버에 연결해 백도어 바이러스를 내려 받아 실행시키고 해커가 발송한 명령을 받는다. 동시에 이 바이러스는 레지스트리를 수정하고 컴퓨터가 시작하면 자동으로 활동 개시한다. 그리고 데이터들을 해커가 지정한 웹주소로 보낸다. 이 바이러스에 감염된 컴퓨터는 중요 정보 유출 등 문제에 직면하게 된다.

지난달 28일 중국에서 활개를 친 대표적 컴퓨터 바이러스는 ’Backdoor.Win32.Depyot.a’ 였다. 연 2만5,287명이 신고했다. 이 바이러스는 백도어에서 트로이목마가 투입된 웹주소에 연결시켜 악성 프로그램을 내려 받으며, 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 개시한다.

또 비밀번호를 풀어 원격으로 프로그램 ‘PoisonIvy RAT’을 제어하고 해커가 제정한 웹주소에 연결한다. 컴퓨터가 이 바이러스에 감염되면, 해커는 하드 디스크에 있는 데이터를 볼 수 있고 카메라를 비롯한 컴퓨터 주변기기를 제어할 수 있다. 이에 따라 사용자의 개인 파일과 중요 정보들은 유출될 위험에 놓이게 된다.

이어 10월 29일 중국에서 널리 퍼진 컴퓨터 바이러스에는 ‘Worm.Script.VBS.Agent.cd’가 뽑혔다. 연 2만4,935명이 신고한 이 웜 바이러스는 하드 디스크를 살펴보고 각 디렉터리 아래 스스로 복사를 한다. 컴퓨터가 시작하면 스스로 활동을 개시하도록 설정하고 사용자가 txt, chm, reg를 열 때 먼저 바이러스 파일을 실행시킨다. 그리고 컴퓨터를 해커가 지정한 웹주소에 연결시켜 더 많은 악성 프로그램들을 내려 받는다.

지난달 30일 중국에서 널리 유행한 바이러스는 연 2만5,786명이 신고한 ‘Backdoor.Win32.Fednu.rr’다. 이 백 도어 바이러스는 게임 프로그램을 빌어 악성 dll 파일 ‘dunzip32.dll’을 추가한다. 이 파일은 간단한 암호 해독을 통해 백도어 dll을 얻으며, 이 dll를 빌어 컴퓨터에 유명한 백도어 프로그램을 설치한다.

이어 백그라운드에서 해커가 지정한 웹주소에 연결하고, 컴퓨터 바탕화면, 키보드 작동, 네트워크 통신 상황과 카메라 등을 감시 제어 하며, 해커의 명령에 대기한다. 이 바이러스에 감염된 컴퓨터는 중요 정보 유출과 인터넷뱅킹 계정ㆍ비밀번호 도난 위험에 놓이게 된다.

주말이 포함된 10월 31일부터 11월 2일까지 사흘 동안 중국에서 활개를 친 대표적 바이러스는 ‘Backdoor.Win32.Yjdg.a’다. 연 2만5,059명이 신고한 이 백도어 바이러스는 ‘shellcode’ 코드를 통해 여러 단계 주입과 코드 변환을 진행하며, 바이러스 퇴치 프로그램의 탐지·퇴치를 피한다.

또 가상 바탕화면을 만들고 여러 차례 바탕화면을 바꿔 안티바이러스 디버깅을 방해하는 것으로 알려졌다. 이 바이러스에 걸린 컴퓨터는 백그라운드에서 해커가 지정한 서버에 연결해 기기 정보를 보낸다. 이에 따라 사용자는 개인 정보 유출과 인터넷뱅킹 계정·비밀번호 도난 위험에 놓이게 된다. 동시에 컴퓨터는 해커가 다른 사람을 공격하는 도구로 전락할 수 있다.

루이싱은 자사 ‘클라우드 보안’ 시스템이 10월 27일부터 11월 2일까지 중국에서 2만5,582개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전보다 2,380개 가량 증가했다. 또 중국에서 피싱 사이트들로부터 공격을 받은 누리꾼은 연 11만 명에 달한 것으로 나타났다.

이 기간에도 중국에서 유명 TV 프로그램, 대형 은행, 인터넷 쇼핑몰, 온라인 금전 결제 사이트 등을 사칭한 피싱 사이트들이 누리꾼들에게 피해를 입혔다. 바이러스나 트로이목마가 들어 있는 이들 피싱 사이트는 개인정보와 인터넷 계정·비밀번호를 노렸다.

루이싱의 ‘클라우드 보안’ 시스템 통계에 따르면, 10월 27일에는 연 1만6,486명의 누리꾼이 웹페이지에 숨은 트로이목마의 공격을 받았다. 루이싱 쪽은 8,756개의 트로이목마 삽입 웹주소를 찾아냈다. 또 누리꾼 연 1만4,731명이 피싱 사이트로부터 공격을 받았고, 루이싱이 탐지한 피싱 웹주소는 4,083개에 달했다.

루이싱이 선정한 27일 중국내 피싱 사이트 톱5는 △중국 유명 인터넷사이트 텅쉰(Tencent)으로 가장한 http://test.sxfsp.cn/index.php?query=8TQMS.shtml(사용자의 계정과 비밀번호 정보 훔침) △가짜 온라인 구매류 www.wocqt.com(허위 구매 정보로 사용자의 금전 편취) △허위 의약류 www.yumeixianggw.com(허위 의약 정보로 사용자에게 송금 유도) △가짜 야후(Yahoo) 메일류 http://en.maxlicensing.com/wp-content/plugins/yahoo.html(허위 당첨 정보로 사용자의 금전 편치) △중국건설은행을 사칭한 www.tobodg.com/jianshe/app/B2CMainB1L5.asp(사용자의 은행 카드 번호와 비밀번호 훔침) 등이었다.

이어 10월 28일에는 웹페이지에 들어간 트로이목마가 누리꾼 연 2만1,800명을 공격했으며, 루이싱 쪽은 1만451개의 트로이목마 삽입 웹페이지를 탐지했다. 또 연 1만7,566명의 누리꾼이 피싱 사이트의 공격을 받았고, 루이싱은 4,937개의 피싱 웹주소를 찾아냈다.

이날 피싱 사이트 톱5에는 △중국 유명 온라인 쇼핑몰 타오바오(Taobao)의 당첨을 가장한 http://tuihuo.mjsj168.com(사용자의 계정과 비밀번호 편취) △허위 온라인 구매류 http://58.jxgjjx.cn/ △허위 의약류  www.52jiarenwang.com/cobor/index.htm △텅쉰이 서비스하는 온라인게임으로 가장한 www.4008cf.net/vip(사용자 계정과 비밀번호 훔침) △중국공상은행으로 위장한 www.pcplieq.com(사용자 은행 카드 번호와 비밀번호 편취) 등이 뽑혔다.

또 10월 29일에는 연 1만8,290명이 웹페이지에 투입된 트로이목마의 공격을 받았고 트로이목마 삽입 웹주소 9,902개가 루이싱에 의해 발견됐다. 또 피싱 사이트들은 연 1만4,694명에 피해를 줬으며, 루이싱은 4,614개의 피싱 웹주소를 탐지했다.

루이싱이 뽑은 이날 피싱 사이트 톱5는 △중국판 TV 오락 프로그램 ‘아빠 어디가’로 가장한 http://bbqno.com(사용자의 계정과 비밀번호 훔침) △허위 온라인 구매류 http://mp.caixiadianzi.com/t0807/i-5-s △허위 의약류 http://quba8.com △텅쉰의 게임으로 가장한 http://www.cf909.com/vip △가짜 중국공상은행류 http://216.218.197.202/ 등이었다.

지난 30일에는 연 2만2,281명의 누리꾼이 웹페이지에 숨은 트로이목마로부터 공격을 받았고, 루이싱 쪽은 1만2,912개의 트로이목마 삽입 웹주소를 찾아냈다. 피싱 사이트는 연 1만9,254명을 공격했고, 루이싱은 4,838개의 피싱 웹주소를 발견했다.

이날 선정된 피싱 사이트 톱5에는 △가짜 타오바오 당첨류 http://taobao.lygxxs.com △가짜 온라인 구매류 http://single.xiaoyuanart.com △가짜 의약류 http://heigouqi.tdweb.com.cn △허위 텅쉰 게임류 http://www.cfpls5.com/vip △가짜 중국공상은행류 http://69.165.70.180/ 등이 포함됐다.

주말이었던 10월 31일~11월 2일 사흘 동안에는 연 5만9,289명이 웹페이지에 숨은 트로이목마의 공격 대상이 됐으며, 루이싱 쪽은 3만416개의 웹주소를 탐지했다. 또 연 5만6,842명이 피싱 사이트 공격을 받았고, 루이싱이 찾아낸 피싱 웹주소는 1만4,535개였다.

주말 중 피싱 사이트 톱 5로는 △중국 유명 온라인 금전 결제 사이트 즈푸바오로 가장한 http://sderweras.ghorub.com/a1.asp?Bank=CCB(허위 결제 정보로 사용자의 계정과 비밀번호 편취) △가짜 온라인 구매류 http://fa.genwopin.com.cn △가짜 의약류 http://heigouqi.tdweb.com.cn △허위 텅쉰 게임류 www.longlongsq.com  △가짜 중국공상은행류 www.pota666.com 등이 지목됐다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>