피싱 사이트 2만2,600여개 탐지...누리꾼 9만명 공격 노출
[보안뉴스 온기홍=중국 베이징] 중국에서 11월 마지막 주에 2만2,600여개의 피싱 사이트가 탐지되고, 피싱 사이트의 공격을 받은 누리꾼은 9만 명에 달한 것으로 나타났다. 또 이 기간에 중국 최대 온라인 메신저 ‘QQ’의 계정과 비밀번호를 훔치는 트로이목마들이 지속적으로 출현했다.
中 11월 넷째 주 컴퓨터 바이러스 발생 상황
중국 정보보안회사인 루이싱은 11월 24~30일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 통해 차단한 비율을 기준으로 컴퓨터 바이러스 Top10을 꼽아 공개했다.
바이러스 Top10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Worm.Win32.Autorun △Trojan.FakeIELnk △Win32.KUKU 순으로 나타났다.
|
|
| ▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단 횟수를 기준으로 뽑은 ‘11월 24일~30일 중국내 컴퓨터 바이러스 Top10’ |
이 가운데 1위와 2위는 한 주 전과 비교해 자리 변동이 없었다. 3~8위는 한 계단씩 올랐다. 9위 ‘Trojan.FakeIELnk’와 10위의 ‘Win32.KUKU’는 새로 Top10 안에 들었다.
루이싱이 꼽은 지난 한주 대표적인 이동전화 바이러스 가운데 하나는 ‘Trojan.PSW.QQPass!47FC’ 였다. 이 바이러스는 중국내 최대 온라인 메신저 ‘QQ’내 사이버 화폐를 가장해 ‘Q(화)폐 신기(Q?神器)’로 불리는데, 무료 온라인 ‘Q 화폐’ 프로그램으로 위장해 사용자를 꾀어 계정과 비밀번호를 입력하게 한다. 그 뒤 사용자의 계정 정보는 곧바로 해커가 지정한 웹 주소로 발송된다.
컴퓨터가 ‘Trojan.PSW.QQPass!47FC’에 감염되면, 사용자는 ‘QQ’ 계정을 도난당하게 되고 금전 사기 피해까지 입을 수 있다. 중국 정보보안업계는 이 바이러스에 대한 경계 정도로 별 다섯 개 중 네 개를 매겼다.
날짜별로 중국내 주요 컴퓨터 바이러스를 보면, 24일에는 ‘Trojan.PSW.Win32.OnlineGames.nkb’가 꼽혔다. 루이싱의 ‘클라우드 보안’ 시스템이 사용자들로부터 연 2만5,400회에 걸쳐 신고를 받았다. 이 바이러스는 컴퓨터에서 실행된 게임 프로그램을 검색해 여러 온라인게임의 계정과 비밀번호를 훔치는 것으로 밝혀졌다.
25일에는 ‘Trojan.DL.Win32.MyDown.cmg┖가 중국에서 널리 퍼졌다. 사용자들의 신고 횟수는 연 2만5,321회에 달했다. 이 바이러스는 컴퓨터내 안티바이러스 프로그램의 실행을 막으며, 윈도우의 방화벽을 닫는 것으로 드러났다. 또 윈도우 시스템의 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 바이러스 활동을 할 수 있도록 하고, 컴퓨터가 보안 모드에 들어갈 수 없게 만든다.
이 바이러스는 또 백그라운드에서 해커가 지정한 98개의 웹주소에 연결해 대량의 바이러스를 내려 받는 것으로 밝혀졌다. 컴퓨터가 이 바이러스에 걸리면, 인터넷뱅킹 정보와 금전이 도난 당하고 개인의 중요 정보들이 유출될 위험에 놓이게 된다.
지난 26일 중국에서 퍼진 대표적인 바이러스는 ‘Trojan.Win32.Lapka.a’였다. 연 2만5,090명이 신고했다. 이 바이러스는 원격으로 코드를 ‘Svhost.exe’에 주입하며 자체 실행 프로그램을 끝내고 숨김 상태에 들어간다고 루이싱은 밝혔다.
동시에 새로운 실행 프로그램을 만들고, CMD 안의 ‘Del’ 명령을 전용해서 기존 바이러스 파일을 삭제해, 바이러스 퇴치 프로그램을 피하는 것으로 밝혀졌다. 아울러 이 바이러스는 백그라운드에서 컴퓨터를 해커가 정한 웹주소에 연결시켜 해커의 명령을 받는다.
지난 27일에는 ‘Trojan.Win32.Generic.172CB765’ 바이러스가 활개를 쳤다. 연 2만5,120명이 신고한 이 바이러스는 동영상 실행 프로그램으로 위장해 사용자를 꾀어 컴퓨터에 설치하게 한다. 이어 컴퓨터를 해커가 지정한 웹주소에 연결해 특정 파일을 내려 받는다. 동시에 바이두(Baidu), UC, 음악FM 등 유명 웹사이트에 연결해, S/W를 내려 받아 설치한다.
또 이 바이러스는 컴퓨터를 해커의 웹사이트에 연결시켜 해당 사이트의 트래픽을 늘린다. 컴퓨터가 이 바이러스에 걸릴 경우 강제로 불필요한 S/W를 설치하게 되며 인터넷 속도도 크게 떨어지게 된다.
주말이 포함된 28~30일에는 ‘Trojan.Win32.Generic.172CBC9F’가 널리 활동했다. 연 2만4,980명이 신고한 이 바이러스는 정상적인 S/W와 묶어 전파를 진행하는데, 사용자는 비공식 경로를 통해 파일을 내려 받을 경우 이런 바이러스의 공격을 받을 수 있다고 루이싱은 강조했다.
이 바이러스는 ‘c:\docume~1\admini~1\locals~1\temp\851578.ini’ 파일을 뿌리며, 시스템 ‘regini.exe’을 전용해 등록을 진행하는 것으로 드러났다. 또 웹 브라우저 홈페이지를 ‘2345’ 웹주소로 바꾸고, 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결해 특정 S/W를 내려 받아 설치한다. 컴퓨터가 이 바이러스에 걸릴 경우 네트워크 자원과 시스템 자원이 대량 점용되고 시스템 실행이 크게 느려지는 문제가 일어난다.
|
|
▲ 11월 24~30일 중국내 주요 컴퓨터 바이러스
(출처: 중국 루이싱) |
中 11월 넷째 주 피싱사이트 발생상황
루이싱의 ‘클라우드 보안’ 시스템의 통계에 따르면, 중국에서 11월 24~30일 2만2,600여개 피싱 사이트가 발견됐다. 한 주 전에 비해 2,400 가량 줄었다. 또 피싱 사이트의 공격을 받은 누리꾼은 9만 명에 달해, 한 주 전보다 1만 명 감소했다.
특히 이 기간에는 중국에서 유명한 인터넷 사이트나 TV 프로그램, 은행 등으로 위장해 사용자의 개인 정보와 금전을 빼내는 피싱 사이트들이 여전히 활개를 쳤다. 이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있으므로, 누리꾼들은 이를 클릭해서는 안 된다고 루이싱은 강조했다.
날짜별로 피싱 사이트 발생 상황을 보면, 지난 24일에는 누리꾼 연 2만957명이 웹페이지에 숨은 트로이목마의 공격을 받았고, 루이싱은 트로이목마가 들어간 웹페이지 1만2,141개를 찾아 차단했다. 또 누리꾼 연 1만5,813명이 피싱 사이트의 공격에 노출했고, 루이싱은 6,120개의 피싱 웹주소를 탐지했다고 밝혔다.
루이싱 쪽이 뽑은 이날 중국내 피싱 사이트 Top5는 △중국 최대 온라인 금전 결제 전문 사이트인 ‘즈푸바오’로 가장한 http://nhvfi.com/a1.asp?Bank=CCB(허위 결제 정보로 사용자의 카드 정보와 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://c9.highbor.com.cn(허위 구매 정보로 사용자를 속여 금전 훔침) △허위 의약류 http://lier.cn.qiyeku.com(허위 의약 정보로 사용자를 속여 송금 유도) △텅쉰 사이트내 당첨으로 가장한 http://www.zhnzhnguoguo.com/index1.asp(허위 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 가장한 http://118.193.131.3/com/main.html(사용자를 속여 카드 번호와 비밀번호 빼냄) 순이었다.
이어 25일에는 연 2만3,051명이 웹페이지에 잠복한 트로이목마의 공격에 노출됐고, 루이싱은 트로이목마가 들어 있는 웹주소 1만1,642개를 찾아냈다고 밝혔다. 또 누리꾼 1만6,605명이 피싱 사이트의 공격을 받았고, 루이싱은 5,952개의 피싱 웹주소를 발견했다.
이날 중국내 피싱 사이트 Top5에는 △중국 최대 온라인 쇼핑몰 타오바오를 가장한 http://dsgdsf.qewpv.com/web.html (허위 결제 정보로 사용자를 속여 카드 번호와 비밀번호 훔침) △허위 온라인 구매류 www.zgsjzm.com △허위 의약류 www.100woman.cn/zt/zffx △중국판 TV 오락 프로그램 ‘런냉맨’으로 위장한 www.hnbbftv2.com(허위 프로그램 시청자 당첨 정보로 사용자의 송금 유도) △중국공상은행을 가장한 http://118.193.178.24/com/main.html 등이 꼽혔다.
또한 26일에는 연 2만1,098명이 웹페이지에 내장된 트로이목마의 공격을 받았고 루이싱은 1만933개이 트로이목마 삽입 웹주소를 찾아내 차단했다. 또 누리꾼 연 1만4,260명은 피싱 사이트로부터 피해를 입었고, 루이싱은 5,753개의 피싱 웹주소를 탐지했다.
이날 피싱 사이트 Top5는 △가짜 즈푸바오 http://usmwyub.tk/hyl/a1.asp △허위 구매류 http://yq.highbor.com.cn △허위 의약류 http://webhtml.cn/ftle △중국판 TV 오락 프로그램 ‘아빠 어디가’를 사칭한 www.bbvus.com △중국건설은행으로 가장한 www.11183y.ga/pay/jian(사용자를 속여 카드 번호와 비밀번호 빼냄) 등이 포함됐다.
지난 27일에는 누리꾼 연 2만1,285명이 웹페이지에 숨은 트로이목마의 공격을 받았고, 트로이목마가 삽입된 웹페이지 1만1,978개가 탐지됐다. 또 누리꾼 연 1만6,311명이 피싱 사이트를 경험했고 루이싱이 찾아 차단한 피싱 웹주소는 6,1010개였다.
이날 널리 활동한 피싱 사이트 Top 5로는 △가짜 ‘즈푸바오’ http://cfdaytdy.tk/bbb/bbb/bbb/code/cxk.asp △가짜 온라인 구매 www.szsjzm.com △가짜 의약류 www.yayunmei.com/z/xiong/index.htm?baidu △중국판 TV 오락 프로그램 ‘런냉맨’의 당첨을 가장한 hwww.zjwstv.com △중국공상은행을 사칭한 http://23.226.65.108/ 등이 꼽혔다.
주말이 들어간 28~30일에는 연 5만4,764명의 누리꾼의 웹페이지에 투입된 트로이목마의 공격에 노출됐으며, 트로이목마가 숨은 웹주소 3만208개가 루이싱에 의해 발견됐다. 또 누리꾼 연 3만8,996명이 피싱 사이트의 공격을 받았으며, 루이싱의 ‘클라우드 보안’시스템에 걸려든 피싱 웹주소는 1만970개에 달했다.
사흘 동안 중국에서 활개를 친 피싱 사이트 Top5에는 △구글(Google) 전자우편으로 가장한 http://shreesomnathsanskrituniversity.info/download(사용자를 속여 계정과 비밀번호 훔침) △가짜 온라인 구매류 www.szsjzm.com △가짜 의약류 www.yayunmei.com/z/xiong/index.htm?baidu △가짜 온라인게임류 www.tlcfsq.com(허위 S/W 정보로 사용자의 계정과 비밀번호 훔침) △중국공상은행으로 위장한 http://wap.icbcvjk.com/icbc/ 순으로 꼽혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
