• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 1월 둘째주 바이러스·피싱사이트 TOP 10 2015.01.15

웜바이러스 출현...PC내 정보 해커 전송, 이동저장장치도 감염

피싱사이트 2만 1,755개 탐지...누리꾼 10만명 공격 노출

[보안뉴스 온기홍= 중국 베이징] 중국에서 지난 1월 5일~11일 LAN 안의 모든 컴퓨터와 이동저장장치를 감염시키고 개인정보와 인터넷뱅킹 계정·비밀번호를 훔치는 ‘Undef’란 이름의 바이러스 등이 나타나 피해를 끼친 것으로 나타났다. 지난주 중국에서 정보보안 업체가 찾아낸 피싱 사이트 수는 2만 1,755개로 한 주 전과 비슷했고, 누리꾼 10만 명이 피싱사이트의 공격에 노출된 것으로 집계됐다.


中 1월 둘째 주 컴퓨터 바이러스 발생 상황

중국 정보보안솔루션 업체인 루이싱은 1월 5일~11일 자사 ‘클라우드 보안’ 시스템을 써서 차단한 비율을 기준으로 ‘컴퓨터 바이러스 톱10’을 꼽아 발표했다.

이들 컴퓨터 바이러스 톱10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Worm.Win32.Autorun △Trojan.FakeIELnk △Trojan.Win32.KUKU △Trojan.Win32.SysVenFak 등 차례였다. 한 주 전과 비교해 1~4위는 자리 변동이 없었고, 10위 ‘Trojan.Win32.SysVenFak’는 지난 주 처음 톱10 안에 들었다.

▲ 중국 정보보안 회사인 루이싱이 자사 ‘클라우드 보안’ 시스템의 차단 비율을
   바탕으로 뽑은 ‘1월 5일~11일 중국내 컴퓨터 바이러스 Top10’


이 기간에 중국 정보보안업계와 누리꾼의 주목을 받은 바이러스 가운데 하나는 ‘Trojan.Spy.Win32.Undef.kz’였다. 이 바이러스는 컴퓨터에서 활동 시작 후 자신의 실행 과정을 숨기며, LAN IP를 조회해 139와 445 포트를 통해 스스로 전파를 진행한다고 루이싱은 밝혔다.

이어 내부 망의 모든 컴퓨터와 이동저장장치 등을 감염시킨다. 컴퓨터가 이 바이러스에 감염되면, 중요 정보의 유출과 함께 인터넷뱅킹 계정·비밀번호도 도난당할 위험에 놓이게 된다. 정보보안업계는 이 바이러스에 대한 경계 등급으로 별 5개 중 4개를 매겼다.

지난 주 날짜 별로 중국에서 널리 퍼진 대표적인 컴퓨터 바이러스를 보면, 모두 웜(Worm) 바이러스였다.

먼저 1월 5일에는 ‘Worm.Win32.Gamarue.w’가 중국에서 가장 유행한 바이러스에 꼽혔다. 연인원 2만5,034명이 이 바이러스를 루이싱 쪽에 신고했다. 이 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 개시한다.

동시에 ‘%AllUsersProfile%\Local Settings\’ 디렉터리에 자신을 복사해 넣는다. 또 이동저장장치도 감염시키며, 백그라운드에서 컴퓨터를 해커가 지정한 많은 웹주소에 연결한다. 이어 해커에게 컴퓨터 하드디스크 안의 중요한 정보들을 보내는 동시에 많은 바이러스들을 내려 받는 것으로 밝혀졌다.

지난 6일 중국에서 유행한 대표적인 바이러스는 ‘Worm.Win32.Gamarue.x’로 연 2만5,411명이 신고했다. 이어 7일 활개를 친 바이러스는 ‘Worm.Win32.Gamarue.y’로 연 2만5,080명이 신고했다.

지난 8일에는 연 2만5,203명이 신고한 ‘Worm.Win32.Gamarue.z’, 주말이 포함된 9~11일에는 연 2만5,416명이 신고한 ‘Worm.Win32.Gamarue.aa’이 각각 중국에서 널리 퍼졌다. 이들 웜 바이러스들은 모두 5일 유행한 ‘Worm.Win32.Gamarue.w’과 같은 특징을 가지고 컴퓨터 사용자에게 피해를 끼쳤다.


▲ 1월 5일~11일 중국내 주요 컴퓨터 바이러스(출처:중국 루이싱)


中 1월 둘째 주 피싱 사이트 발생 상황

루이싱의 ‘클라우드 보안’ 시스템이 지난 1월 5일~11일 중국에서 탐지한 피싱 사이트 수는 2만1,755개로 한 주 전보다 약 200개 늘었다. 피싱 사이트로부터 공격을 받은 누리꾼 수는 10만 명으로 한 주 전에 비해 2만명 줄었다.


이와 함께 중국 유명 온라인 쇼핑몰과 인기 오락 TV 프로그램, 은행, 의약 등을 사칭한 피싱 사이트들이 누리꾼들의 개인 정보와 인터넷뱅킹 비밀번호, 금전을 노렸다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨기고 있으므로, 누리꾼은 이를 클릭해서는 안 된다고 정보보안 업계는 강조했다.


루이싱의 ‘클라우드 보안’ 시스템이 집계한 일자 별 피싱 사이트 발생 상황을 보면, 1월 5일에는 연인원 2만7,646명의 누리꾼이 웹페이지에 숨은 트라이목마의 공격을 받았다. 루이싱은 트로이목마가 들어 있는 웹주소 1만1,505개를 찾아냈다. 또 연 1만2,236명이 피싱 사이트에 접속했고, 루이싱 쪽이 탐지한 피싱 사이트는 3,535개에 달했다.


루이싱이 뽑은 이날 중국내 피싱 사이트 톱4에는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://fgsz.zbvilf.com(허위 정보로 사용자를 속여 계정과 비밀번호 훔침) △중국 유명 온라인 쇼핑몰 징동상청(JD.com)으로 가장한 http://jd.aoemiew.ga(허위 쇼핑 정보로 사용자를 속여 금전을 훔침) △중국 유명 인터넷 사이트 텅쉰(Tencent)의 S/W로 가장한 www.jdcfsq.com(허위 S/W 정보로 사용자를 속여 계정과 비밀번호 정보 빼냄) △중국건설은행을 사칭한 http://wap.95533jp.com(사용자의 카드 번호와 비밀번호 훔침) 등이 꼽혔다.

지난 6일에는 연인원 3만1,906명이 웹페이지에 들어간 트로이목마로부터 공격을 받았으며, 루이싱은 트로이목마가 들어 있는 웹주소 1만2,503개를 탐지했다. 연 1만5,884명은 피싱 사이트의 공격 대상이 됐고, 루이싱이 찾아 낸 피싱 웹주소는 4,798개였다.

이날 중국 내 피싱 사이트 톱5는 △중국에서 큰 인기를 얻고 있는 TV 오락 프로그램 ‘런닝맨’으로 가장한 http://ny1659.xiecyzvys3cn.pw(허위 런닝맨 프로그램 관련 당첨 정보로 사용자를 속여 송금 유도) △허위 온라인 구매(쇼핑)류 http://fh.cnfumei.com.cn(허위 구매 정보로 사용자를 속여 금전을 빼냄) △허위 의약류 http://wap.dbhgj.com(허위 의약 정보로 사용자를 속여 송금 유도) △구글(Google) 메일로 위장한 http://manspray.com/test/doc/ (사용자를 속여 계정과 비밀번호 빼냄) △중국농업은행을 사칭한 http://www.icjth.com(사용자의 카드 번호와 비밀번호 훔침) 등 순으로 나타났다.

이어 7일에는 연 2만9,967명이 웹페이지에 삽입된 트로이목마의 공격을 받았고 루이싱은 트로이목마가 들어 있는 웹주소 1만1,664개를 찾아 차단했다. 또 연 1만5,985명이 피싱 사이트의 함정에 걸려 들었으며, 루이싱 쪽은 4,432개의 피싱 웹주소를 발견했다.

이날 중국내 피싱 사이트 톱4 △중국 최대 인터넷 쇼핑몰 타오바오(Taobao)를 가장한 http://xuzpqko.com(허위 정보로 사용자를 속여 계정과 비밀번호 훔침) △가짜 온라인 구매류 http://cs.sbscp.com(허위 구매 정보로 사용자의 금전 훔침) △구글 메일로 가장한 http://commandtech.com.br/makiot/docs △중국 최대 은행 중국공상은행을 사칭한 www.11183j.ml/pay/jian(사용자를 속여 카드 번호와 비밀번호 빼냄) 순이었다. 

지난 8일에는 연 3만2,281명이 웹페이지에 삽입된 트로이목마의 공격을 받았고 루이싱은 트로이목마가 숨은 웹주소 1만2,031개를 탐지했다. 또 연 1만9,074명이 피싱 사이트로부터 공격을 받았고, 루이싱은 4,975개이 피싱 웹주소를 찾아냈다.


이날 피싱 사이트 톱5는 △온라인 쇼핑몰 타오바오로 가장한 http://148.163.7.131 △허위 온라인 구매류 http://kb.cnfumei.com.cn △허위 의약류 http://choiskycn.xmxinhe.com/index_list.htm △텅쉰의 S/W를 가장한 www.7suyc.com △중국공상은행을 사칭한 http://wap.icbcdxc.com/indec.html 등 차례였다.


주말이 들었던 9~11일에는 연 8만8,741명이 웹페이지에 삽입된 트로이목마의 공격을 경험했고, 루이싱 쪽은 트로이목마가 들어간 웹주소 3만1,073개를 탐지했다. 아울러 연 4만3,913명이 피싱 사이트의 공격에 노출됐고, 9,578개의 피싱 웹주소가 발견됐다.


이날 중국 내 피싱 사이트 톱5에는 △구글 메일로 가장한 http://manspray.com/document.html?ssl=yes △허위 온라인 구매류 http://kb.cnfumei.com.cn △허위 의약류 www.ailaiyachina.com △중국판 인기 TV 오락 프로그램 ‘아빠 어디가’를 가장한 www.hbbswtv.com(허위 TV 프로그램 주관 당첨 정보로 사용자를 속여 송금 유도) △텅쉰의 S/W로 가장한 www.155wp.com 등이 꼽혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>