온라인 메신저 계정·비밀번호와 개인정보 훔치는 새 바이러스 출현

피싱 사이트 2만1100여개 발견...누리꾼 10만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 주 파일 폴더 아이콘으로 위장해 컴퓨터 사용자를 속여 클릭하게 하고 유명 온라인 메신저 ‘QQ’의 계정·비밀번호와 개인정보를 훔치는 새로운 바이러스가 널리 퍼진 것으로 나타났다.

또한 지난 주 중국에서 정보보안 업체가 찾아낸 피싱 사이트는 2만1,100여개로 한주 전과 비슷했으며, 누리꾼 10만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 1월 마지막 주 컴퓨터 바이러스 발생 상황

중국 정보보안업체인 루이싱은 지난 1월 26일~2월 1일 보안 시스템을 써서 차단한 비율을 바탕으로 ‘컴퓨터 바이러스 톱10’을 꼽아 발표했다.

이들 컴퓨터 바이러스 톱10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Worm.Win32.Autorun △Trojan.Win32.SysVenFak △Trojan.FakeIELnk △Trojan.Win32.KUKU 순으로 나타났다.

한 주 전과 비교해 8위 ‘Trojan.Win32.SysVenFak’와 10위 ‘Trojan.Win32.KUKU’가 자리 바꿈을 했다. 다른 바이러스들은 순위 변동 없었고, 비율에서 소폭 변화가 있었다.

▲ 중국 정보보안 회사인 루이싱이 자사 보안 시스템의 차단 비율을 바탕으로 뽑은 ‘1월 26일~2월 1일 중국내 컴퓨터 바이러스 Top10’

지난 주 중국 정보보안업계와 누리꾼들의 이목을 끈 대표적인 바이러스는 ‘Trojan.PSW.Win32.QQPass.eyg’ 였다. 이 바이러스는 파일 폴더 아이콘으로 위장해 컴퓨터 사용자를 꾀어 클릭하게 한다.

이어 컴퓨터 시작과 함께 자동으로 실행되도록 설정하고, 악성 프로그램 ‘C:\Program Files\Windows Media Player\c\’을 투입하는 것으로 밝혀졌다. 또 시스템 실행 프로그램으로 위장하고, 사용자의 온라인 메신저 ‘QQ’ 계정과 비밀번호를 훔친다. 루이싱 쪽은 이 바이러스에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다. 이와 함께 루이싱이 지난 주 날짜 별로 중국에서 널리 퍼진 대표적인 컴퓨터 바이러스들도 꼽아 공개했다.

먼저 지난달 26일 중국에서 가장 유행한 바이러스로는 ‘Trojan.Spy.Win32.Hijclpk.b’가 지목됐다. 연인원 2만5,256명이 정보보안 회사에 신고한 이 바이러스는 컴퓨터에서 활동 시작과 함께 파일 ‘lpk.dll’을 만든다. 이어 다른 디렉터리에 자신을 복사하고, 시스템 파일로 위장하며 자신을 은폐시킨다. 이 바이러스는 다른 바이러스를 컴퓨터에 내려 받고, 컴퓨터 안의 민감한 정보와 중요 파일들을 훔치는 것으로 드러났다.

지난 27일 중국에서 널리 퍼진 대표적인 바이러스는 연 2만5,410명이 신고한 ‘Trojan.Spy.Win32.Gamker.a’였다. 이 바이러스는 컴퓨터 안의 바이러스퇴치 프로그램을 찾아내 중지 시키고, 컴퓨터 안의 브라우저를 전용해 해커가 지정한 웹주소에서 다른 바이러스를 내려 받는다.

또한 인터넷뱅킹과 관련한 키워드를 찾아내고, 컴퓨터 실행 프로그램을 감시한다. 동시에 컴퓨터 자판 감시 기능을 이용하고 사용자의 계정과 비밀번호 정보를 기록한 다음, 이를 평문 형식으로 저장해 해커에게 발송하는 것으로 밝혀졌다.

이어 28일 중국에서 활개를 친 대표적인 바이러스에는 ‘Trojan.Win32.StartPage.qhz’가 꼽혔다. 연 2만5,099명이 신고한 이 바이러스는 컴퓨터 바탕화면에 기존 인터넷 익스플로러(IE) 아이콘과 완전히 같은 아이콘을 만든다. 컴퓨터 사용자가 이 가짜 IE 아이콘을 클릭하면, 해커가 지정해 놓은 웹사이트에 들어가게 된다.

또한 이 바이러스는 브라우저의 검색 엔진과 여러 다른 브라우저 S/W들을 악용해 웹사이트 클릭률을 크게 높인다. 백그라운드에서는 멀웨어 S/W를 내려 받아 컴퓨터에 설치하는 것으로 나타났다.

지난달 29일 중국에서 크게 활동한 대표적인 바이러스로는 연 2만5,371명이 신고한 ‘Trojan.Win32.Generic.1557BDC7’가 지목됐다, 이 바이러스는 컴퓨터 루트 디렉터리 아래 파일 폴더를 만들고, 자신을 이 파일 폴더 아래 복제한 다음 자동 실행 항목으로 설정하는 것으로 밝혀졌다.

동시에 ‘cq.bat’ 파일을 투입하고 ‘qq.exe’을 중지시킨다. 컴퓨터가 이 바이러스에 감염되면, 사용자의 온라인 메신저 ‘QQ’ 계정과 비밀번호가 도난 당할 위험에 놓이게 된다.

주말이 들었던 1월 3일~2월 1일 사흘 동안 중국에서 가장 유행한 바이러스에는 ‘Worm.Win32.Viking.pf’가 꼽혔다. 연 2만5,427명이 신고했다. 이 웜 바이러스는 파일형 바이러스, 웜 바이러스, 바이러스 다운로더 등 여러 유형의 바이러스 특징을 동시에 갖고 있는 것으로 드러났다.

이 바이러스는 인터넷에서 여러 트로이목마를 컴퓨터에 내려 받는다. 또 사용자의 인터넷 게임 계정과 비밀번호도 훔친다. 컴퓨터 이 바이러스에 감염될 경우, 시스템이 완전히 마비될 수 있다고 정보보안 전문가들은 설명했다.

 

▲ 1월 26일~2월 1일 중국내 주요 컴퓨터 바이러스(출처:중국 루이싱)

 

中 1월 마지막 주 피싱 사이트 발생 상황

루이싱이 1월 26일~2월 1일 보안 시스템을 활용해 탐지한 중국내 피싱 사이트 수는 2만1,132개로 한 주 전(2만1,132개)와 비슷했다. 피싱 사이트로부터 공격을 받은 중국 누리꾼 수는 한 주 전과 같은 10만 명 규모로 파악됐다.

이런 가운데 지난 주 중국에서는 유명한 모바일 메신저와 은행, 온라인 쇼핑몰, 의약, 학교, 여행 정보 등으로 위장한 피싱 사이트들이 잇달아 나타나 누리꾼들을 공격했다. 피싱 사이트들은 누리꾼들의 개인 정보와 인터넷 사이트 계정·비밀번호 등을 훔치는 데 집중됐다. 정보보안 업계는 피싱 사이트에 바이러스나 트로이목마들이 숨어 있으므로 클릭해서는 안 된다고 누리꾼들에게 당부했다.

루이싱의 보안 시스템이 집계한 일자 별 트로이목마와 피싱 사이트 발생 상황을 보면, 먼저 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼 수는 26일 연인원 1만8,619명에서 27일 연 2만6,382명으로 늘었고, 28일 연 2만309명, 29일 2만1,910명, 주말이 들었던 1월30일~2월 1일에는 연 6만2,267명에 각각 달했다.

루이싱이 보안 시스템을 써서 탐지한 ‘트로이목마 삽입 웹페이지’ 수는 26일 1만210개에서 27일 1만5,198개로 증가했고, 28일 1만1,889개, 29일 1만2,145개, 주말이 낀 1월 30일~2월 1일 3만6,464개를 각각 기록했다.

피싱 사이트의 공격을 받은 누리꾼 수는 26일 연인원 1만3,681명, 27일 연 1만6,023명, 28일 연 1만2,283명, 29일 연 1만7,040명, 주말이 들었던 1월 30일~2월 1일 연 3만4,538명에 달했다. 이어 루이싱의 보안 시스템이 찾아 낸 피싱 웹주소는 26일 5,149개, 27일 4,518개, 28일 3,824개, 29일 4,524개, 1월 30일~2월 1일 사흘 동안 8,933개로 집계 됐다.

지난 주 일자 별로 중국내 ‘피싱 사이트 톱5’에 들어간 웹사이트들을 보면, 먼저 중국 토종 모바일 메신저 ‘웨이신’(WeChat)으로 위장한 △http://dc.lovekk.cc/admin/public/login (사용자를 속여 계정과 비밀번호 훔침)이 포함됐다.

중국건설은행을 사칭한 △www.11183cj.ml/pay/jian/ △www.11183md.ml/pay/jian/ △www.11183ks.ml/pay/jian/ △www.11183hp.ml/pay/jian/ △www.11183hp.ml/pay/jian/ 등도 톱5에 뽑혔는데, 사용자를 속여 카드 번호와 비밀번호를 빼내는 것으로 밝혀졌다.

허위 온라인 구매류 피싱 사이트로는 △http://baidu.nuocimagnetic.cn/xiaomi/ △www.fusijia.cn/ △http://web.cnsnzpw.com/ △www.yadaegf.cn/ △www.yadaegf.cn/ 등이 톱5에 들었다. 이들 피싱 사이트는 허위 구매 정보로 사용자를 속여 금전을 편취하는 것으로 드러났다.

가짜 의약류 피싱 사이트의 경우 △http://qb.zimilan.com/ △www.zhiqingyan.net/indexkm.php △http://qd.zimilan.com/ △www.alenyachina.net/ △www.alenyachina.net/ 등이 탐지됐다. 이들 피싱 사이트는 허위 의약 정보로 사용자를 속여 송금을 유도한다.

중국 최대 온라인 쇼핑사이트 타오바오(taobao)를 사칭한 △http://kiuawgm.tk/taobao/com/은 사용자를 속여 계정과 비밀번호를 훔친다. 구글(Google) 메일로 위장한 △http://jkbmclasses.in/wir3arts/bigwire/ △http://jkbmclasses.in/wir3arts/bigwire/ △http://alkunouz.com/nD/nD/ 등은 컴퓨터 사용자를 속여 계정과 비밀번호 빼내는 것으로 나타났다.

학교류 피싱 사이트인 △www.shcxxy.cn/ △www.vfeedu.org/ △www.vfeedu.org/ 등이 지난 주 처음 톱5 안에 포함됐다. 이들 학교 사칭 웹사이트들은 사용자의 정보를 빼내 불법적으로 금전적 이익을 얻는 것으로 드러났다.

허위 여행 정보를 내건 피싱 사이트 △www.zgglvzx.com/ △www.021shqlly.com/ 등도 지난 주 처음으로 톱5 안에 들었다. 이들 가짜 여행류 피싱 사이트는 사용자의 개인정보를 훔쳐 불법적으로 금전적 이익을 취한다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>