‘온라인게임 대도’ 트로이목마 출현, 온라인게임 계정 훔쳐
피싱 사이트 2만7,200여개 탐지...누리꾼 10만명 공격 받아
[보안뉴스 온기홍=중국 베이징] 중국에서 12월 첫째 주에 2만7,200여개의 피싱 사이트가 발견되고 10만 명 가까운 누리꾼들이 피싱 사이트의 공격에 노출됐던 것으로 드러났다.
아울러 최근 세계적으로 유명한 온라인게임인 ‘월드 오브 워크래프트’의 신규 확장팩 ‘드레노어의 전쟁군주’가 출시된 가운데 중국에서는 ‘온라인게임 대도둑’으로 불리는 트로이목마가 대량 출현해 컴퓨터 사용자의 온라인게임 계정 등을 훔쳤다.
中 12월 첫째 주 컴퓨터 바이러스 발생 상황
중국 정보보안회사인 루이싱은 12월 1~7일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 통해 차단한 비율을 기준으로 컴퓨터 바이러스 Top10을 꼽아 발표했다.
컴퓨터 바이러스 Top10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Trojan.FakeIELnk △Worm.Win32.Autorun △Dropper.Win32.Small 등 차례였다.
|
|
|
▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단
비율을 바탕으로 뽑은 ‘12월 1일~7일 중국내 컴퓨터 바이러스 Top10’ |
이 가운데 바이러스 ‘Trojan.Win32.FakeUsp’는 18%에 가까운 비율로 압도적인 1위를 차지했다. 한 주 전과 비교해 8위와 9위는 서로 자리바꿈을 했다. 10위의 ‘Dropper.Win32.Small’는 지난 주 처음 Top10 안에 들었다.
루이싱이 꼽은 지난 주 대표적인 이동전화 바이러스는 ‘Trojan.Win32.Mnless.suk’ 였다. 최근 미국산 온라인게임 ‘월드 오브 워크래프트’의 신규 확장팩 ‘드레노어의 전쟁군주’가 출시된 가운데 중국에서 ‘온라인게임 대도둑’으로 불리는 ‘Trojan.Win32.Mnless.suk’ 같은 트로이목마가 대량 출현했다.
이 ‘Trojan.Win32.Mnless.suk’는 컴퓨터의 레지스트리를 수정해 컴퓨터 시작과 함께 스스로 활동을 할 수 있게 한다. 또 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시켜 다른 악성 프로그램을 내려 받는다. 컴퓨터 안에 있는 온라인게임 계정 정보도 몰래 수집하는 것으로 밝혀졌다. 정보보안 업계는 이 바이러스에 대한 경계 정도로 별 다섯 개 중 네 개를 매겼다.
날짜 별로 중국내 주요 컴퓨터 바이러스를 보면, 지난 1일에는 ‘Trojan.Win32.Generic.175B8BA6’가 널리 퍼졌다. 루이싱의 ‘클라우드 보안’ 시스템은 연인원 2만4,855명으로부터 신고를 받았다.
이 바이러스는 음악 파일로 위장해 사용자를 속여 컴퓨터에 내려 받게 했다. 이어 ‘svchost.exe’ 실행 프로그램을 만들어, 여기에 코드를 주입한다고 루이싱은 밝혔다. 동시에 이 바이러스는 자신을 컴퓨터 시작과 함께 스스로 활동을 개시하도록 설정하며, 백그라운드에서 해커가 정한 웹주소에 연결한 다음 컴퓨터 안의 중요한 정보들을 수집해 해커에게 보내는 것으로 드러났다.
지난 2일 중국에서 활개를 친 대표적인 바이러스는 연 2만5,340명이 신고한 ‘Worm.Win32.Autorun.eyr’다. 이 웜 바이러스는 시스템 파일 폴더 안에 자신을 복제하고 자신을 숨김 속성으로 설정한다고 루이싱은 밝혔다.
또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시할 수 있게 하고 백그라운드에서 해커가 지정한 웹주소에 연결해 네트워크 트래픽을 대량 점용하는 것으로 밝혀졌다. 컴퓨터가 이 바이러스에 감염되면 시스템 운행이 늘려지고 네트워크 속도가 점용되며, 심지어 시스템이 마비되기까지 한다고 루이싱은 설명했다.
이어 3일 가장 유행한 바이러스에는 ‘Worm.Mail.NetSky.lz’가 꼽혔다. 연인원 1만9,667명이 신고한 이 웜 바이러스는 시스템 파일 폴더 아래 복제를 하고 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 개시할 수 있게 한다. 동시에 하드 디스크 안에 대량으로 복제를 하고, 전자우편을 통해 자체 전파를 실행하는 것으로 밝혀졌다. 컴퓨터가 이 바이러스에 감염될 경우 시스템 운행이 느려지고 하드 디스크 자원이 대량 점용되는 문제가 일어난다.
지난 4일에는 백도어 바이러스 ‘Backdoor.Win32.PcClient.shu’가 중국에서 널리 퍼졌다. 이 연 2만5,206명이 신고한 이 백도어 바이러스는 시스템 디렉터리 아래 ‘dll’를 투입한다. 해커는 이 ‘dll’를 통해 바이러스에 감염된 컴퓨터를 완전히 제어할 수 있으며, 파일에 대한 조회, 업로드, 차단 및 카메라 작동 등 여러 기능을 실행할 수 있다.
주말이 들었던 5~7일 사흘 동안 중국에서 크게 번진 바이러스는 ‘Backdoor.Win32.Multelons.a’ 였다. 연 2만5,124명이 신고한 이 백도어 바이러스는 ‘C:\Microsoft__SDK\lib\include’ 디렉터리를 만들고, ‘cc1xm.js’, ‘cc1xm.cmd’, ‘iexploror.exe’ 등 3개 파일을 투입한다. 동시에 해커가 지정한 웹주소에 연결해 컴퓨터내 정보를 보내고, 안티바이러스 프로그램과 방화벽을 파괴하는 것으로 밝혀졌다.
해커는 이 백도어 바이러스를 통해 해당 컴퓨터를 원격 조종할 수 있고 악성 웹사이트를 방문하며 다른 바이러스를 컴퓨터에 내려 받을 수 있다. 동시에 이 바이러스는 해커가 사용자의 중요 파일을 조회, 복사, 또는 삭제할 수 있도록 돕는다.
|
|
| ▲ 12월 1~7일 중국내 주요 컴퓨터 바이러스(출처:중국 루이싱) |
中 12월 첫째 주 피싱 사이트 발생상황
루이싱의 ‘클라우드 보안’ 시스템의 통계에 따르면, 중국에서 12월 1~7일 2만7,258개의 피싱 사이트가 탐지됐다. 한 주 전과 비교해 4,600여 개 증가했다. 또 피싱 사이트의 공격을 받은 누리꾼은 10만 명으로 한 주 전보다 1만 명 늘었다.
특히 중국 최대 온라인 쇼핑몰인 타오바오를 가장한 http://dsgdsf.qewpv.com/web.html, 허위 온라인 구매(쇼핑)류 www.zgsjzm.com, 중국판 TV 오락 프로그램 ‘런닝맨’을 가장한 www.hnbbftv2.com처럼 인기 웹사이트와 TV 프로그램, 은행 등으로 위장해 누리꾼의 인터넷뱅킹 계정과 개인 중요 정보를 빼내는 피싱 사이트들이 활개를 쳤다. 루이싱은 이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있으므로 누리꾼은 이를 클릭해서는 안 된다고 강조했다.
날짜별로 중국에서 주목을 받은 피싱 사이트를 보면, 12월 1일에는 연인원 1만9,549명의 누리꾼이 웹페이지에 숨은 트로이목마의 공격에 노출됐으며, 루이싱은 1만970개의 트로이목마 삽입 웹주소를 탐지했다고 밝혔다. 피싱 사이트의 공격을 받은 누리꾼은 연 1만702명이었고, 루이싱은 3,421개의 피싱 웹주소를 찾아냈다.
루이싱이 뽑은 이날 중국내 피싱 사이트 Top5에는 △중국 유명 인터넷사이트 텅쉰을 가장한 http://bkmrs.cn/1.php?t=1&d=66&e=42&fy=xodjtk(사용자를 속여 계정과 비밀번호 빼냄) △허위 온라인 구매류 http://lm.highbor.com.cn(허위 구매 정보로 사용자를 속여 금전 훔침) △허위 의약류 www.topp57.com/flg(허위 의약 정보로 사용자를 속여 송금 유도) △중국판 TV 오락 프로그램 ‘런냉맨’을 가장한 www.benpaoba8.com(허위 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://118.193.178.24/com/main.html(사용자 카드 번호와 비밀번호 편취) 순으로 포함됐다.
이어 2일에는 연 2만2,050명이 웹페이지에 잠입한 트로이목마로부터 공격을 받았고 루이싱 쪽은 1만1,368개의 트로이목마 삽입 웹주소를 탐지했다. 연인원 1만9,593명이 피싱 사이트의 위협을 받았고 루이싱이 차단한 피싱 웹주소는 4,661개에 달했다.
이날 중국 내 피싱 사이트 Top5는 △텅쉰 사이트를 가장한 http://sqknielq.tk/?WIGGS=63915 △허위 온라인 구매류 http://dm.rougewalk.cn/product/1095.html △허위 의약류 http://72.41.146.211/ △중국판 TV 오락 프로그램 ‘런냉맨’으로 위장한 http://rm.zjstv.com/ △중국공상은행을 사칭한 http://59.188.69.158/com/icbcmybank.htm 등으로 나타났다.
지난 3일에는 연 1만9,887명이 웹페이지에 숨은 트로이목마로부터 피해를 입었고 루이싱은 1만1,942개의 트로이목마 삽입 웹주소를 찾아냈다. 또 연 1만6,330명이 피싱 사이트의 공격에 노출된 가운데, 루이싱은 4,419개의 피싱 웹주소를 탐지해 차단했다고 밝혔다.
이날 중국 내 대표적인 피싱 사이트 Top5으로는 △야후(Yahoo) 전자우편으로 가장한 http://vervoortbvba.be/dtrade(사용자의 계정과 비밀번호 편취) △허위 온라인 구매류 http://ku.wineclub.net.cn/product/1096.html △허위 의약류 http://sz0756.com △중국판 인기 TV 프로그램 ‘보이스 오브 차이나’를 가장한 www.dlbhcj.com(허위 당첨 정보로 사용자를 속여 송금 유도) △중국건설은행을 사칭한 www.huaxiang158pt.com/ccb.asp(사용자 카드 번호와 비밀번호 편취) 등이 포함됐다.
또 4일에는 연 2만352명이 웹페이지에 삽입된 트로이목마의 공격을 받았고 루이싱은 트로이목마가 숨은 웹페이지 1만1,577개를 찾았다고 밝혔다. 또 연 1만9,200평이 피싱 사이트의 공격에 노출됐으며 루이싱이 탐지한 피싱 웹주소는 4,473개에 달했다.
이날 피싱 사이트 Top5는 △야후 전자우편을 가장한 http://vervoortbvba.be/dtrade(사용자 계정과 비밀번호 편취) △허위 온라인 구매류 http://ku.wineclub.net.cn/product/1096.html △허위 의약류 http://sz0756.com
△타오바오 사이트로 위장한 http://tbao.fgsst.info/lo.asp?submit.x=121&submit.y=8 △중국건설은행을 사칭한 www.huaxiang666pt.com/ccccbb.asp 등 차례로 나타났다.
주말이 끼었던 5~7일 사흘 동안에는 연 5만3,512명의 누리꾼의 웹페이지에 숨은 트로이목마의 공격을 받았으며, 루이싱은 2만8,345개의 트로이목마 삽입 웹주소를 찾아냈다. 아울러 누리꾼 연 4만6,607명이 피싱 사이트의 공격을 받았으며, 루이싱은 1만2,402개의 피싱 웹주소를 탐지했다고 밝혔다.
|
|
| ▲ 12월 10일 당일 중국 정보보안회사 루이싱이 차단 횟수를 바탕으로 뽑은 피싱 사이트 Top5 |
지난 5~7일 중국에서 널리 퍼진 피싱 사이트 Top5에는 △중국 최대 온라인 금전 결제 전문 사이트인 ‘즈푸바오’를 가장한 http://irnrhm.com/b1.asp(허위 환불 정보로 사용자를 속여 카드 번호와 비밀번호 빼냄) △허위 온라인 구매류 http://yu.guini.net.cn/product/1060.html △허위 의약류 http://zxrj.lxnkm.com △허위 온라인게임류 www.cftjsq.com(허위 S/W 정보를 통해 사용자의 계정과 비밀번호 훔침) △중국공상은행을 사칭한 http://icbc-my.com/ 등이 꼽혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
