인터넷 비밀번호 훔치고 은행카드 도용하는 바이러스 활개

피싱 사이트 약 1만8,700개 탐지...누리꾼 9 만명 공격 노출

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 12~18일 한주 동안 PDF 파일로 위장해 컴퓨터 사용자를 꾀어 클릭해 내려 받게 한 다음 다른 악성 프로그램들을 컴퓨터에 내려 받아 사용자의 인터넷 계정·비밀번호를 훔치고 은행카드를 도용하는 바이러스가 활개를 친 것으로 나타났다.

또 지난주 중국에서 정보보안 업체가 탐지한 피싱사이트는 약 1만 8,700개로 한 주 전에 비해 줄었으며, 누리꾼 9만 명이 피싱사이트의 공격을 경험한 것으로 조사됐다.

中 1월 셋째주 컴퓨터 바이러스 발생상황

중국 정보보안 솔루션 업체인 루이싱은 지난 12~18일 자사 ‘클라우드 보안’ 시스템을 써서 차단한 비율을 기준으로 ‘컴퓨터 바이러스 톱10’을 꼽아 발표했다.

지난주 중국 내 컴퓨터 바이러스 톱10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Worm.Win32.Autorun △Trojan.Win32.FakeLPK △Trojan.FakeIELnk △Trojan.Win32.SysVenFak △Win32.KUKU 등 차례였다. 한 주 전과 비교해, 6위와 7위가 자리 바꿈을 했고, 10위 ‘Win32.KUKU’는 지난 주 새로 톱10 안에 들었다.

이어 컴퓨터 안에서 자신을 ‘temp’ 디렉터리 안에 투입한다. 또 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시키고 다른 악성 프로그램들을 컴퓨터에 내려 받는다. 컴퓨터가 이 바이러스에 감염되면, 사용자의 인터넷 계정과 비밀번호가 도난당하고 은행 카드도 도용될 위험에 놓이게 된다고 정보보안 업계는 설명했다.

정보보안 업계는 이 바이러스에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다. 루이싱 쪽이 지난주 날짜별로 중국에서 널리 퍼진 대표적인 컴퓨터 바이러스를 꼽은 결과, 웜(Worm) 바이러스와 트로이목마가 많았다.

먼저 지난 12일 중국에서 가장 유행한 바이러스에는 ‘Worm.Win32.Gamarue.ab’가 꼽혔다. 루이싱의 보안 시스템이 연인원 2만5,009명으로부터 신고를 받은 이 웜 바이러스는 컴퓨터에서 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동할 수 있게 한다.

동시에 자신을 ‘%AllUsersProfile%\Local Settings\’ 디렉토리에 복사한다. 또한 이동저장장치를 감염시키고 백그라운드에서 컴퓨터를 해커가 미리 정해 놓은 많은 웹주소에 연결시킨다. 이어 해커에게 컴퓨터 하드디스크 안의 중요한 정보들을 보내는 동시에 다른 많은 바이러스들을 내려 받는다. 이 때문에 컴퓨터 사용자의 중요한 정보들이 유출될 위험에 놓이게 된다.

지난 13일 중국에서 활개를 친 대표적인 바이러스는 ‘Worm.Win32.Gamarue.ac’로 연 2만5,214명이 신고했다. 이어 14일에는 역시 웜 바이러스인 ‘Worm.Win32.Gamarue.ae’가 중국에서 널리 퍼졌다. 연 2만5,277명이 신고했다. 이들 두 바이러스는 12일 유행한 ‘Worm.Win32.Gamarue.ab’과 같은 특징을 갖고서 누리꾼들을 공격했다.

1월 15일 중국에서 유행한 대표적인 바이러스에는 ‘Trojan.Spy.Win32.Zbot.gah’가 꼽혔다. 연인원 2만5,306명이 신고한 이 바이러스는 시스템 디렉토리 아래 임의의 5개 영문자모로 된 2개 디렉토리를 만들고, 2개의 임의 디렉토리 내용에서 하나의 바이러스 파일을 파생시킨다고 루이싱은 밝혔다.

동시에 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동할 수 있게 한다. 이 바이러스는 또 파생된 바이러스 ‘EXE’ 파일을 전용하고 ‘CMD’ 명령을 써서 자신의 원래 파일을 삭제한다고 루이싱은 설명했다. 이어 컴퓨터 안의 윈도우(windows) 계정 정보를 수집해 해커가 미리 정한 서버로 보낸다.

컴퓨터가 이 ‘Trojan.Spy.Win32.Zbot.gah’에 감염되면, 컴퓨터의 조작 권한이 해커에게 전면 개방되고 하드 디스크 안의 모든 데이터들이 분실·도난·변조될 수 있다고 정보보안 업계는 설명했다.

주말이 포함된 16~18일 사흘 동안 중국에서 활개를 친 바이러스는 연 2만5,092명이 신고한 ‘Trojan.Win32.Mnless.suk’였다. 이 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 할 수 있게 한다.

또 시스템 디렉토리 아래 드라이브 파일을 투입하고 LAN 안에서 퍼뜨린다. 이어 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시켜 다른 악성 프로그램들을 내려 받는다. 아울러 컴퓨터 안의 온라인 게임 계정과 비밀번호를 수집하는 것으로 드러났다.

中 1월 셋째 주 피싱 사이트 발생상황

루이싱의 ‘클라우드 보안’ 시스템이 1월 12~18일 중국에서 탐지한 피싱 사이트 수는 1만8,648개로 한 주 전보다 2,100개 줄었다. 피싱 사이트의 공격에 노출됐던 누리꾼은 9만 명으로 1만 명 감소해, 2주 연속 하락세를 보였다.

또한 중국에서 유명하고 이용자 수가 많은 온라인 금전 결제 사이트와 인기 오락 TV 프로그램, 온라인 쇼핑 사이트, 은행, 인터넷 사이트, 의약, 메일 서비스 등을 사칭한 피싱 사이트들이 누리꾼들의 정보와 각종 인터넷 사이트 계정·비밀번호, 금전을 노렸다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨기고 있으므로 주의해야 한다고 정보보안 업계는 강조했다.

루이싱의 ‘클라우드 보안’ 시스템이 집계한 지난주 일자별 피싱사이트 발생 상황을 보면, 12일에는 연인원 3만529명의 누리꾼이 웹사이트에 숨은 트로이목마 공격에 노출됐다. 루이싱의 보안 시스템은 트로이목마가 들어간 웹주소 1만1,284개를 찾아냈다. 또 연 1만4,121명이 피싱 사이트의 공격을 받았으며, 루이싱 쪽은 4,136개의 피싱 웹주소를 탐지했다고 밝혔다.

루이싱 쪽이 전파·피해 규모를 바탕으로 뽑은 이날 중국 내 피싱 사이트 톱5는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://103.42.183.38/bbb/bbb/bbb/code/xyk.asp(허위 정보로 사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 www.yz1981.cn(허위 구매 정보로 사용자를 속여 금전을 빼냄) △허위 의약류 www.folivon.com(허위 의약 정보로 사용자를 속여 송금 유도) △구글(Google) 메일로 위장한 http://thisparts.com/g_doc/file_doc.php(사용자를 속여 계정과 비밀번호 빼냄) △중국 최대 은행인 중국공상은행을 사칭한 www.icbbics.com/images/login.html(사용자 카드 번호와 비밀번호 훔침) 등 차례로 나타났다.

지난 13일에는 연 2만9,834명이 웹페이지에 삽입된 트로이목마의 공격 표적이 됐고 루이싱 쪽은 관련 웹페이지 1만89개를 발견했다. 또 연 1만7,901명이 피싱 사이트의 공격을 경험했으며, 피싱 웹주소 4,776개가 탐지됐다.

이날 중국에서 널리 퍼진 피싱사이트 TOP 5에는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://tuikuan.gstovlx.com/b1.asp △허위 온라인 구매류 www.whereheartsmeet.com.cn △허위 의약류 www.gzzrk.com △중국 유명 인터넷 사이트 텅쉰(Tencent)의 S/W로 가장한 http://cfzhanlong.com(허위 S/W 정보로 사용자를 속여 계정과 비밀번호 정보 빼냄) △중국공상은행을 사칭한 http://wap.itbac.com 순으로 꼽혔다.

이어 14일에는 연 2만8,714명이 웹페이지에 숨은 트로이목마의 공격을 받았으며, 루이싱 보안 시스템은 1만727개의 관련 웹페이지를 찾아냈다. 또 연 1만3,827명이 피싱 사이트의 공격에 노출됐고, 피싱 웹주소 3,618개가 발견됐다.

이날 중국에서 활개를 친 피싱 사이트 TOP 5는 △중국 유명 인터넷 사이트 텅쉰(Tencent)의 S/W로 가장한 www.cf5730.com △허위 온라인 구매류 www.yadaegf.cn △허위 의약류 http://mt.meiyuanchun.com/mrt △구글(Google) 메일로 위장한 http://pcip.ir/itunes/img/drive.google.com/pdf △중국공상은행을 사칭한 http://198.100.120.203/icbc 등이었다.

지난 15일 하루 중국에서 웹페이지에 투입된 트로이목마의 공격 표적이 된 누리꾼은 연 3만2,276명이었고 관련 웹페이지 1만2,808개가 탐지됐다. 피싱 사이트의 공격을 받은 누리꾼은 연 1만8,205명이었으며 피싱 웹주소 4,223개가 정보보안 업체에 의해 발견됐다.

이날 중국 내 피싱 사이트 TOP 5는 △중국 유명 인터넷 사이트 텅쉰으로 가장한 http://hbqii.cn/1.php?t=1&d=117&e=112&ju=ipwhoy △허위 온라인 구매류 www.ezour.com.cn △허위 의약류 http://fit.meiyuanchun.com/jfjn △구글(Google) 메일로 위장한 www.european-online.com/js/dir/2014googledocs △중국공상은행을 사칭한 http://dddsg.pw/icbc 등 순이었다.

주말이 들었던 16~18일에는 연 5만8,914명의 누리꾼이 웹페이지에 숨은 트로이목마의 공격을 받았고, 2만8,537개의 관련 웹페이지가 탐지됐다. 또 연 4만5,771이 피싱사이트 공격에 걸려들었으며, 피싱 웹주소 1만1,154개가 발견됐다.

이 사흘 동안 중국 내 피싱 사이트 톱5는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://bcndgdf34.cdbpl.com/a1.asp △중국 유명 온라인 쇼핑몰 징동상청(JD.com)으로 가장한 http://jd.xgjdkvp.com(허위 쇼핑 정보로 사용자를 속여 금전을 훔침) △허위 의약류 http://yfwpd.com △중국 최대 이동통신 서비스 업체 중국이동통신으로 가장한 www.10086ue.cn/wap.asp(허위 정보로 누리꾼을 속여 계정과 비밀번호를 훔침) △중국공상은행을 사칭한 www.grczga.com/default.htm 등 차례였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>