• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 12월 넷째주 바이러스·피싱사이트 TOP 10 2015.01.05

‘좀비’ 네트워크 만드는 백도어 바이러스 출현...개인정보 빼내

피싱 사이트 2만1,300개 탐지...10만명 공격 노출


[보안뉴스 온기홍=중국 베이징] 중국에서 지난 12월 넷째주에 유명 보안 프로그램으로 위장해 컴퓨터에서 중요 정보들과 기밀 파일을 훔치는 백도어(Backdoor) 바이러스가 출현해 누리꾼들을 공격했다. 또한 이 기간 중국 정보보안 회사가 탐지한 피싱 사이트 수는 2만1,300개에 달했고 10만 명의 누리꾼이 피싱 사이트의 공격을 받은 것으로 나타났다.


中 12월 넷째 주 컴퓨터 바이러스 발생 상황

중국 정보보안회사인 루이싱은 12월 22~28일 자사 ‘클라우드 보안’ 시스템을 써서 차단한 비율을 기준으로 컴퓨터 바이러스 Top10을 꼽아 발표했다.


이들 컴퓨터 바이러스 톱10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △RootKit.Win32.ObscureU △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Trojan.Win32.KUKU △Worm.Win32.Autorun △Trojan.FakeIELnk 등 순이었다. 이 가운데 5위의 ‘RootKit.Win32.ObscureU’는 처음 Top10 안에 들었다. 9위와 10위는 지난 주 자리 바꿈을 했다.

▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단 비율을
   바탕으로 뽑은 ‘12월 22~28일 중국내 컴퓨터 바이러스 Top10’


특히 지난주 중국 정보보안업계와 누리꾼의 주목을 받은 바이러스 가운데 하나는 ‘Backdoor.Win32.Gpigeon2010.aay’였다. 이 백도어 바이러스는 한 유명 보안 프로그램으로 위장해 컴퓨터를 사용자를 속이는데, ‘Copysss.bat’ 파일을 C 디스크의 루트 디렉터리에 투입하고, ‘dll’ 파일 ‘2683578_360.temp’을 ‘Temp’ 파일 폴더 안에 넣는 것으로 밝혀졌다.

또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 바이러스 활동을 개시한다. 컴퓨터가 이 바이러스에 감염되면, 중요한 정보들이 유출되고 기밀 파일이 도난당하며 컴퓨터가 해커의 통제를 받는 위험에 놓일 수 있다고 루이싱은 지적했다.

일자 별 주요 바이러스를 보면, 12월 22일 중국에서 넓게 퍼진 대표적인 바이러스는 ‘Worm.Mail.NetSky.lz’로, 연 2만4,758명이 신고했다. 이 웜바이러스는 시스템 파일 폴더에 스스로 복제하고 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시한다.


동시에 하드디스크 각 부분에 자아 복제를 하고, 전자우편 S/W를 통해 스스로 전파를 진행한다. 컴퓨터가 이 바이러스에 감염되면, 시스템 운행이 느려지고, 하드 디스크 자원도 대량 점용되는 문제가 생긴다고 루이싱은 밝혔다.


이어 23일 중국에서 활개를 친 대표적인 바이러스는 ‘Worm.Win32.Agent.vq’ 였다. 연 2만4,819명이 신고한 이 웜바이러스는 자신을 ‘%system%\txomou.exe’에 복사하고, 속성을 숨김으로 설정하며, 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작한다.


동시에 해커가 지정한 웹주소로부터 다른 악성 프로그램을 컴퓨터에 내려 받으며, ‘htm’ 파일을 감염시켜 사용자가 웹페이지를 둘러 볼 때 해커가 지정한 웹주소를 열게 한다. 컴퓨터가 이 바이러스에 감염될 경우, 해커가 악성 웹사이트의 트래픽을 늘리기 위한 도구가 될 수 있으며, 중요한 정보들이 새어 나가고 인터넷뱅킹 계정과 비밀번호가 절취 당할 위험에 놓이게 된다.


지난 24일에는 ‘Backdoor.Win32.Serv.w’가 중국에서 널리 퍼졌다. 연 2만5,034명이 신고한 이 백도어 바이러스는 ‘%AllUsersProfile%\’시작 메뉴\프로그램\개시’ 디렉터리 아래 자아 복제를 하고, 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작한다고 루이싱은 밝혔다.

동시에 국내외 주류 안티바이러스 S/W를 찾아내어 중지 시키고 컴퓨터 모니터 정보와 자판, 마우스 조작 정보를 감시한다. 컴퓨터가 이 바이러스에 감염되면 해커의 조종을 받게 되고 하드 디스크에 저장된 중요한 정보와 기밀 파일, 인터넷뱅킹 계정ㆍ비밀번호 등 정보가 유출될 위험에 처하게 된다고 정보보안 업계는 지적했다.

성탄절인 25일 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.PSW.Win32.QQPass.fnl┖ 였다. 연 2만5,200명이 신고했다. 이 바이러스는 ‘2013년 추계학기 재학생 장학금 심사 업무 통지표’란 파일명으로 사용자들을 속여 컴퓨터에 내려 받아 클릭하게 한다.


이 바이러스는 컴퓨터에서 ‘qq.exe’ 실행 프로그램을 찾아내 중지시킨다. 동시에 바이러스가 위조한 ‘다시 등록하기’ 대화창을 컴퓨터에 띄우고, ‘서버와 연결이 중단됐으며, 사용자의 계정 안전을 위해 다시 비밀번호를 입력해 신분 검증을 해야 한다’는 문구를 올린다. 이를 통해 사용자를 속여 계정과 비밀번호를 입력하게 한다. 컴퓨터가 이 바이러스에 감염되면, 중국 최대 온라인 채팅 툴인 ‘QQ’의 계정이 도난당하고 중요한 개인 정보들이 새어 나갈 수 있다.

주말이 포함된 26~28일 사흘 동안 중국에서 넓게 퍼진 대표적인 바이러스는 ‘Worm.Mail.NetSky.lz’였다. 연 2만5,150명이 신고한 이 웜바이러스는 시스템 파일 폴더 아래 스스로 복제를 하고 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시한다. 동시에 하드 디스크의 각 곳에서도 자아 복제를 하며, 전자우편을 통해 퍼져 나간다. 컴퓨터가 이 바이러스에 감염될 경우, 시스템 운행 속도가 느려지고 하드 디스크 자원이 대량 점용되는 문제가 생긴다고 정보보안 업계는 지적했다.

▲ 12월 22~28일 중국내 주요 컴퓨터 바이러스(출처: 중국 루이싱)


中 12월 넷째주 피싱사이트 발생 상황

루이싱의 ‘클라우드 보안’ 시스템이 12월 22~28일 중국에서 탐지한 피싱 사이트 수는 2만1,300개로, 한 주 전보다 6,300개 줄었다. 피싱 사이트로부터 공격을 받은 누리꾼 수는 10만 명으로 한 주전에 비해 2만 명 감소했다.


이와 함께 해커들은 중국에서 유명한 온라인 쇼핑몰과 결제 사이트, 은행, TV 프로그램들로 가장한 피싱 사이트들을 내걸고 누리꾼들의 각종 정보와 금전을 노렸다. 일자 별 피싱 사이트 동향을 보면, 22일 루이싱의 ‘클라우드 보안’ 시스템은 연 1만9,127명으로부터 웹페이지에 숨은 트로이목마의 공격을 받았으며, 1만254개의 관련 웹페이지를 탐지했다고 밝혔다. 또 연 1만7,053명이 피싱 사이트의 공격 대상이 됐고, 루이싱 쪽은 4,182개의 피싱 웹주소를 찾아냈다.


루이싱이 뽑은 이날 중국내 피싱 사이트 톱5는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://kuaijietuik.tkupig.cn.com/b1.asp(사용자를 속여 카드 번호와 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://mmb.onlyforam.cn/product/1027.html(허위 구매 정보로 사용자를 속여 금전을 훔침) △허위 의약류 http://xueju.biansuxiang.com.cn(허위 의약 정보로 사용자를 속여 송금 유도) △중국 유명 대형 인터넷사이트 텅쉰(QQ)을 가장한 http://sqknielq.tk/?MAHMN=15506(사용자를 속여 계정과 비밀번호 훔침) △중국공상은행을 사칭한 http://www.lxwhgift.com/servlet/icbcinbsebusinessservlet(사용자를 속여 카드 번호와 비밀번호 훔침) 순이었다.


12월 23일에는 연인원 2만3,320명이 웹페이지에 들어 있는 트로이목마의 공격에 노출됐고, 루이싱은 트로이목마가 들어 있는 웹주소 1만2,168개를 찾아 차단했다. 또 연 1만8,400명이 피싱 사이트의 공격을 받았으며, 루이싱은 4,137개의 피싱 웹주소를 탐지했다고 밝혔다.


12월 23일 중국내 피싱 사이트 톱5에는 △중국 최대 인터넷 쇼핑몰 타오바오(Taobao)를 가장한 http://juhy.vgnmhtt.cn.com/a1-1.asp?Bank=CCB(허위 정보로 사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매류 http://hkzpsm.ipaicai.cn/product/1028.html △허위 의약류 http://heigouqi.xinfumei.com.cn △구글(Google) 메일로 위장한 www.manspray.com/up/index.php(사용자를 속여 계정과 비밀번호 빼냄) △텅쉰의 당첨을 사칭한 www.5550007.com(가짜 당첨 정보로 사용자를 속여 송금 유도) 등이 뽑혔다.


이어 24일 연 2만1,359명이 웹주소에 삽입된 트로이목마의 공격 대상이 됐고, 루이싱이 찾아낸 트로이목마 삽입 웹주소는 1만2,249개였다. 또 연 1만4,837명이 피싱 사이트 공격을 받았고, 루이싱은 4,507개의 피싱 웹주소를 발견했다고 밝혔다.


12월 24일 중국내 피싱 사이트 톱5는 △타오바오를 사칭한 http://tb.xinyunhl.com △허위 온라인 구매류 http://pinguo56.com △허위 의약류 http://d.kangban365.com/orderinfo.do?c=147&p=1&w=10000 △온라인게임을 가장한 http://www.cf5557.com/cfrjxz/22.html(사용자를 속여 계정과 비밀번호 빼냄) △중국공상은행을 사칭한 http://m.icbcxdn.com/icbc/login.asp 등 차례였다.


성탄절인 12월 25일에는 연 2만402명이 웹페이지에 숨은 트로이목마의 공격을 경험했고, 루이싱은 트로이목마가 투입된 웹주소 1만1,839개를 찾아냈다. 이날 연 1만5,965명이 피싱 사이트로부터 공격을 받았고, 루이싱은 4,534개의 피싱 주소를 탐지했다.


성탄절 중국내 피싱 사이트 톱5에는 △타오바오를 사칭한 hwww.vgfgfud.com △허위 온라인 구매류 http://gy-px.com/index.php △허위 의약류 http://82.8l3.coqsp.cn △중국판 인기 TV 오락 프로그램 ‘아빠 어디가’를 가장한 www.hnbbrfv2.com(허위 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 가장한 http://wap.ictbcd.com/indec.htm 순으로 선정됐다.


주말이 포함된 26~28일에는 연 4만7,545명이 웹페이지에 투입된 트로이목마의 공격을 경험했고 루이싱은 트로이목마가 들어 있는 웹주소 2만6,423개를 찾아냈다. 또 연 4만2,328명이 피싱 사이트의 공격에 노출됐으며, 루이싱은 9,811개의 피싱 웹주소를 탐지했다고 밝혔다.


지난 26일~28일 피싱 사이트 톱5는 △타오바오를 가장한 http://103.255.61.69/web/company.asp?lx=pc △허위 온라인 구매류 http://s1.jjzl.com.cn △허위 의약류 http://tjztmed.com/tjy △구글 메일을 가장한 http://firstbalfour.com/test/auth.php △중국공상은행을 사칭한 www.icbcoz.com/com/main.html 등 차례였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>