“웜 바이러스 출현, 전자우편 통해 대량 전파”
피싱 사이트 2만5천여 개 발견...누리꾼 10만 명 공격 받아
[보안뉴스 온기홍=중국 베이징] 중국에서 11월 셋째 주 2만5,000여개의 피싱 사이트가 탐지됐으며, 누리꾼 10만 명이 피싱 사이트의 공격에 노출됐던 것으로 나타났다.
또 이 기간 컴퓨터 레지스트리를 고치고 하드 디스크 안에 복제를 하며 전자우편을 통해 스스로 전파를 진행하는 새 웜(worm) 바이러스들이 출현해 누리꾼들을 공격했다.중국 정보보안회사인 루이싱은 지난 달 27일 자체 조사 결과를 바탕으로 내놓은 주간 보안 보고에서 이 같이 밝혔다.
中 11월 셋째 주 컴퓨터 바이러스 발생 상황
루이싱은 11월 17~23일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 통해 차단한 비율을 기준으로 컴퓨터 바이러스 Top10을 꼽아 공개했다.
이들 Top10 바이러스는 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Unknown Virus △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Trojan.Win32.SysVenFak △Worm.Win32.Autorun 순으로 나타났다.
|
|
| ▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단 횟수를 기준으로 뽑은 ‘11월 17일~23일 중국 내 컴퓨터 바이러스 Top10’ |
또한 루이싱은 지난 한 주 동안 중국에서 관심을 끈 바이러스 가운데 하나로 ‘Worm.Mail.NetSky.lz’를 꼽았다. 이 웜 바이러스는 컴퓨터 시스템 파일 폴더 아래 스스로 복제하고 레지스트리를 수정해 컴퓨터 시작과 함께 스스로 활동을 개시하게 한다.
동시에 하드 디스크 안에 대량으로 스스로 복제를 하고 전자우편을 통해 전파를 진행한다. 컴퓨터가 이 ‘Worm.Mail.NetSky.lz’에 감염되면, 시스템 작동 속도가 느려지고 하드 디스크 자원도 대량 점용되는 문제가 일어난다고 루이싱은 설명했다.
루이싱의 ‘클라우드 보안’ 시스템이 누리꾼들로부터 받은 신고 건수 등을 바탕으로 뽑은 지난 주 중국 내 대표적인 바이러스들을 날짜 별로 보면, 17일에는 ‘Trojan.Win32.Generic.157BDEB7’이 뽑혔다.
연 2만5,091의 컴퓨터 사용자가 신고했다. 이 트로이목마는 ‘%SYSTEM%’ 디렉터리 아래 스스로 복제하고 백그라운드에서 컴퓨터를 해커가 지정해 놓은 서버에 연결해 다른 많은 바이러스들을 컴퓨터에 내려 받는다.
이 바이러스는 또 컴퓨터 권한을 획득하고, 해커의 명령을 받으며, 사용자의 컴퓨터를 악용해 해커가 지정한 웹주소를 상대로 대규모 공격을 진행하는 것으로 밝혀졌다. 이 바이러스에 감염된 컴퓨터는 해커의 조종을 받게 될 뿐 아니라 개인 정보 유출과 인터넷 계정·비밀번호 절취 위험에 놓이게 된다.
이어 18일에 활개를 친 바이러스는 연 2만5,200명이 신고한 ‘Trojan.Win32.Generic.158259C0’. 이 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 스스로 활동을 개시할 수 있게 한다. 동시에 레지스트리 안의 보안 모드 관련 항목을 삭제해 컴퓨터 시스템이 보안 모드에 들어가지 못하게 한다.
이 바이러스는 또 안티바이러스 실행 프로그램을 강제로 닫고, 컴퓨터 하드 디스 안의 ‘jpg’, ‘exe’, ‘mp4’, ‘html’, ‘bmp’, ‘doc’, ‘ppt’, ‘xml’, ‘gif’, ‘txt’ 등 파일을 검색한 다음 삭제하는 것으로 드러났다. 컴퓨터가 이 바이러스에 감염될 경우 사용자의 대량이 업무 파일이나 상업 기밀을 잃을 수 있다고 루이싱은 지적했다.
중국에서 11월 19 유포된 대표적인 바이러스는 ‘Backdoor.Win32.ldr.a’로 연 2만5,288명이 신고했다. 이 백도어 바이러스는 자신의 아이콘을 사진 아이콘으로 바꿔서 사용자들이 클릭하도록 유인한다.
또 사진을 퍼뜨려 사용자를 끌어 들이는 동시에 ‘update.dll’ 파일을 내놓는다. 이어 바이러스의 동태 베이스에 대해 비밀을 해제한 다음 즉시 컴퓨터를 해커가 지정한 서버에 연결시키고 해커가 보낸 명령을 받아 실행한다. 이에 따라 컴퓨터는 해커의 제어를 받는 동시에 개인 정보 유출과 인터넷 계정·비밀번호 절취 같은 위험에 놓이게 된다.
지난 20일에는 연 2만317명이 신고한 ‘Trojan.PSW.Win32.OnlineGames.nkb’가 중국에서 널리 퍼졌다. 이 바이러스는 현재 실행되고 있는 게임 프로그램을 검색한 다음 여러 유행 온라인게임의 계정과 비밀번호를 훔치는 것으로 밝혀졌다.
주말이 들었던 21일에서 23일까지 활개를 친 바이러스에는 연 2만5,003명이 신고한 ‘Trojan.PSW.Win32.OnlineGames.nka’이 지목됐다. 이 트로이목마도 컴퓨터에 잇는 게임 프로그램을 찾아내는데, 여러 온라인게임의 계정과 비밀번호를 절취해 가는 것으로 드러났다.
|
|
|
▲ 11월 17~23일 중국 내 주요 컴퓨터 바이러스(출처:중국 루이싱) |
中 11월 셋째 주 피싱 사이트 발생 상황
루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 지난 17~23일 한 주 간 2만5,014개이 피싱 사이트를 찾아냈다고 밝혔다. 한 주 전에 비해 4,300개 가량 감소했다. 또 중국 누리꾼 10만 명이 피싱 사이트의 공격을 받았다고 덧붙였다. 이는 한 주 전에 비해 2만 명 줄어든 규모다.
특히 중국에서 유명하고 인기 있는 TV 프로그램·온라인 쇼핑몰·결제 사이트·은행·의약품 등을 사칭해 누리꾼들의 인터넷 계정·비밀번호와 금전을 빼내가는 피싱 사이트들이 지속적으로 발견됐다.
지난 주 중국 내 주요 피싱 사이트들을 날짜 별로 살펴보면, 11월 17일에는 연인원 1만7,719명의 누리꾼이 웹페이지에 숨은 트로이목마의 공격에 노출됐다. 루이싱의 ‘클라우드 보안’ 시스템은 트로이목마가 들어 있는 웹주소 1만239개를 탐지했다. 또 누리꾼 연 1만2,969명이 피싱 사이트의 공격을 받았고, 루이싱 쪽은 4,289개의 피싱 웹주소를 찾아 차단했다.
루이싱이 꼽은 17일 중국 내 피싱 사이트 Top5는 △구글(google) 메일로 가장한 http://victoriahomes.mx/css-js/Payment/index.htm(사용자의 계정과 비밀번호 훔침) △온라인 구매(쇼핑)을 사칭한 http://lv.highbor.com.cn/(허위 구매 정보로 사용자의 금전을 편취) △가짜 의약류 www.yinmeilu8.com/(허위 의약 정보로 사용자에게 송금 유도) △중국 TV 오디션 프로그램 ‘보이스 오브 차이나’를 사칭한 http://zghaosyikv.com/(가짜 당첨 정보로 사용자에게 송금 유도) △중국공상은행을 사칭한 http://216.218.197.201/ (사용자의 카드 번호와 비밀번호 훔침) 순이었다.
이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있기 때문에 누리꾼들은 이들 사이트를 클릭해서는 안 된다고 루이싱은 강조했다.
이어 18일 루이싱은 트로이목마가 숨은 웹주소 1만16개를 탐지한 가운데, 연 2만1,164명의 누리꾼이 웹페이지에 숨임 트로이목마로부터 공격을 받았다. 또 연 1만4,531명이 피싱 사이트의 위협을 받았고, 루이싱 쪽은 4,336개의 피싱 웹주소를 발견했다.
이날 중국 내 피싱 사이트 Top5에는 △중국내 유명 온라인 금전 지불(결제) 사이트 ‘즈푸바오’를 사칭한 http://103.241.48.213/taobao_com/a1.asp(허위 환불 정보로 사용자를 속여 카드 번호와 비밀번호 정보를 훔침) △허위 구매류 http://lu.hiclean.com.cn/ △가짜 의약류 http://333.shop058.com/plus/list.php?tid=501 △중국판 TV 오락 프로그램 ‘아빠 어디가’를 사칭한 http://yixinzn.com/(허위 당첨 정보로 사용자를 꾀어 송금 유도) △중국공상은행을 사칭한 http://103.228.111.128/ 등의 차례로 뽑혔다.
지난 19일에는 누리꾼 연 1만9,436명이 웹페이지에 들어 있는 트로이목마의 공격에 노출됐고 루이싱 쪽은 1만376개의 트로이목마 삽입 웹주소를 찾아냈다. 또 연 1만666명이 피싱 사이트의 공격을 받은 가운데 루이싱은 3,674개의 피싱 웹주소를 찾아 차단했다.
이날 뽑힌 중국 내 피싱 사이트 Top5는 △중국 최대 온라인 쇼핑몰 타오바오를 사칭한 www.rqgrm.com/login.php(허위 정보로 사용자를 속여 카드 번호와 비밀번호를 훔침) △허위 구매류 http://lb.highbor.com.cn/index.html △가짜 의약류 http://ua.cq375.cn.zzszw.com/zl/ △온라인게임으로 위장한 www.10and2tek.com/(허위 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://menterpet.com/asp/ 등의 차례였다.
또한 20일에는 연 2만1,338명이 웹페이지에 내장된 트로이목마의 공격을 받았으며, 루이싱은 1만1,598개의 트로이목마 삽입 웹주소를 찾아냈다. 또 연 1만4,983명이 피싱 사이트의 공격을 받았고, 루이싱 쪽은 5,024개의 피싱 사이트를 찾아 차단했다.
이날 중국 내 피싱 사이트 Top5에는 △가짜 타오바오류 http://ctnxso.tk/ccc/ccc/ccc/code/(허위 정보로 사용자를 속여 카드 번호와 비밀번호 훔침) △허위 구매류 http://soleso.net/ △허위 의약류 www.aimeilishop.com/tgzl/ △중국 유명 인터넷사이트 텅쉰의 소프트웨어로 가장한 www.cfhuoqilin.com/(사용자 계정과 비밀번호 훔침) △중국공상은행을 사칭한 http://157.7.204.155/ 등이 지목됐다.
주말이 포함된 21~23일에는 연 5만9,017명의 누리꾼이 웹페이지에 숨어 든 트로이목마의 공격 목표가 됐으며, 루이싱은 트로이목마가 내장된 웹주소 3만2,234개를 찾아 냈다고 밝혔다. 또 연 4만225명이 피싱 사이트의 공격에 노출됐고, 루이싱은 1만969개의 피싱 웹주소를 탐지했다고 덧붙였다.
|
|
| ▲ 루이싱이 11월 28일 당일 자사 ‘클라우드 보안’ 시스템의 차단 횟수를 기준으로 뽑은 중국내 피싱 사이트 Top5 |
이날 중국 내 피싱 사이트 Top5’는 △구글 메일함으로 위장한 http://networkmarketingec.com/END/NewDocs/ △허위 구매류 http://zq.highbor.com.cn/ △허위 의약류 http://vip.vip9050.com/tgzl/ △TV 프로그램 ‘보이스 오브 차이나’로 가장한 http://zghaosyikv.com/ △중국공상은행을 사칭한 http://yhy.tv/com/main.html 순으로 나타났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
