• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 4월 넷째주 PC 바이러스·피싱사이트 TOP 5 2015.04.29

컴퓨터내 정보유출·인터넷 계정, 비밀번호 훔치는 백도어 활개

中 피싱 사이트 1만9,000여개 탐지...누리꾼 8만명 공격 받아


[보안뉴스 온기홍=중국 베이징] 중국에서 최근 컴퓨터 내 보안프로그램 실행을 중지시키고 컴퓨터를 FTP에 연결해 파일을 내려받으며 백도어를 열어 놓고서 사용자의 중요한 정보들과 인터넷 계정·비밀번호를 빼내는 ‘Prexot’란 이름의 새로운 백도어(Backdoor) 바이러스가 출현했다.


또한, 지난주 중국에서 정보보안업체가 탐지한 피싱사이트는 1만9,000여개로 한 주 전보다 1,400개 가량 줄었으며, 중국 누리꾼 8만 명이 피싱사이트의 공격을 받은 것으로 나타났다.


中 4월 넷째주 주요 컴퓨터 바이러스

중국 정보보안업체 루이싱이 자사 ‘클라우드 보안’ 시스템의 모니터링 결과를 바탕으로 27일 내놓은 보고에 따르면, 4월 20일~26일 한 주 동안 중국에서 정보보안업계와 누리꾼의 주목을 받은 대표적인 바이러스는 ‘Backdoor.Win32.Prexot.B’였다.


이 백도어 바이러스는 컴퓨터 시작과 함께 스스로 활동을 개시하도록 설정하며, 컴퓨터내 안티바이러스 S/W 실행을 중지시킨다. 이어 백그라운드에서 컴퓨터를 FTP에 연결해 파일을 내려 받아 ftp.members.lycos.co.uk를 실행하며, 다른 악성 프로그램도 내려 받는 것으로 드러났다.

또 해커의 명령을 받고, 백도어를 열어 놓는다고 루이싱은 설명했다. 컴퓨터가 이 백도어 바이러스 ‘Prexot’에 감염되면, 사용자의 중요한 정보들이 유출되고 여러 인터넷 계정과 비밀번호도 도난 당할 위험에 놓인다.

▲ 4월 20일~26일 중국 내 주요 컴퓨터 바이러스(출처:중국 루이싱)


일별로 중국에서 기승을 부린 주요 컴퓨터 바이러스를 살펴보면, 웜 바이러스가 20일, 23일, 24일~26일 등 세 차례나 꼽혔다. 먼저 20일 중국에서 활개를 친 대표적인 바이러스는 ‘Worm.Win32.FakeFolder.ao┖. 루이싱이 ‘클라우드 보안’ 시스템을 통해 연인원 2만3,088명으로부터 신고를 받은 이 웜(worm) 바이러스는 시스템 디스크의 여러 위치에 자기 복제를 하며, 레지스트리를 수정하고 이를 쓰지 못하게 한다.


또 자동 활성화 항목과 임무계획을 추가하고, 복사한 프로그램을 시디롬에 입력해 자기를 퍼뜨린다고 루이싱은 밝혔다. 이어 이 바이러스는 컴퓨터를 네트워크에 연결시켜 악성 프로그램들을 내려 받아 계정 도난을 야기하고 각종 광고도 띄우는 것으로 드러났다.

지난 21일에는 ‘Trojan.Spy.Win32.Hijclpk’ 바이러스가 널리 퍼졌다. 연 2만3,824명이 신고했다. 이 바이러스는 백그라운드에서 다른 악성 프로그램들을 컴퓨터에 내려 받음으로써 컴퓨터가 원격 통제를 받고 여러 정보들이 도난 당할 위험에 처하게 한다.


이어 22일 중국에서 기승을 부린 대표적인 바이러스는 ‘Trojan.Win32.Generic.11E1A300’였다. 연 2만2,405명이 신고했다. 이 바이러스는 IRC 서버에 연결해, 사용자 정보 등을 발송하며, 바이러스 파일 다운로드를 시도한다. 또 네트워크를 감시하면서 민감한 정보 등을 가로채는 것으로 밝혀졌다. 이와 함께 사용자의 온라인 결제 계정과 비밀번호를 훔치며, 컴퓨터를 상대로 임의 프로그램 실행과 함께 디도스(DDoS) 공격을 개시한다고 루이싱은 설명했다.

지난 23일 중국에서 퍼진 대표적인 바이러스에는 ‘Worm.Mail.NetSky.lz’가 지목됐다. 연 2만2,067명이 신고한 이 웜 바이러스는 컴퓨터 Windows 디렉터리에 자기 복제를 한 뒤 이름을 다시 짓고 스스로 활동을 개시하도록 설정한다. 또 컴퓨터에서 대량으로 자기를 복제하는 동시에 전자우편 주소를 수집해 메일을 보냄으로써 바이러스 전파 활동을 벌이는 것으로 드러났다.

주말이 낀 지난 24일~26일 중국 전역에서 크게 번진 대표적인 바이러스는 ‘Worm.VB.aew’였다. 연 2만4,911명이 신고한 이 웜 바이러스는 다른 악성 프로그램을 컴퓨터에 내려 받으며, 레지스트리를 추가해 스스로 활동을 개시할 수 있게 만든다. 또 컴퓨터 시스템 자원을 점용함으로써 컴퓨터 실행 속도가 느려지게 만들며, 심할 경우 컴퓨터 마비를 일으키는 것으로 밝혀졌다.

中 4월 넷째주 주요 피싱사이트

루이싱은 지난 한주 ‘클라우드 보안’ 시스템을 써서 중국에서 1만9,014개의 피싱 사이트를 찾아냈다고 밝혔다. 한 주 전과 견주어 1,370개 정도 줄었다. 이 기간 중국 누리꾼 8만 명이 피싱사이트에 걸려들었다고 루이싱은 덧붙였다.

일별로 살펴보면, 피싱사이트의 공격을 겪은 중국 누리꾼 수는 지난 20일 연인원 1만1,711명, 21일 1만6,172명, 22일 1만6,264명, 23일 1만4,548명, 주말이 든 24일~26일 연 4만1,274명에 달했다고 루이싱은 밝혔다. 대체적으로 한 주 전과 비슷한 규모였다. 루이싱 쪽이 탐지한 피싱 웹주소는 20일 3,557개, 21일 4,134개, 22일 4,788개, 23일 4,667개, 24일~26일 1만2,335개를 각각 기록했다.


이 가운데 지난 주에는 △가짜 P2P류 www.dgfuxing.com/ △중국 최대 카드사 중국인롄을 사칭한 www.95516-du.com(사용자를 속이고 카드 번호와 비밀번호 훔침) △미국 애플사를 사칭한 www.mkt.manole.com.br/nnaa1/4127 등 피싱 사이트들이 정보보안업계와 누리꾼의 주목을 받았다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨기고서 누리꾼의 인터넷뱅킹 계정과 비밀번호, 개인정보를 빼냈다.


일별로 중국에서 기승을 부린 피싱 사이트 톱 5를 보면, 먼저 20일 피싱 사이트 톱 5은 △중국 최대 온라인게임 회사 텐센트(텅쉰)의 게임으로 가장한 www.cfzhanlong.com(가짜 S/W 정보로 사용자를 속여 계정과 비밀번호를 빼냄) △중국판 인기 TV 프로그램 ‘아빠 어디가’를 가장한 www.osjobcn.com(가짜 방송사 주관 상품 당첨 정보로 사용자를 속이고 송금 유도) △중국 최대 은행인 중국공상은행을 사칭한 www.icbc.cnvip.co.com(사용자를 속여 카드 번호와 비밀번호 훔침) △가짜 의약류 www.aduosc.com/jfc(허위 의약 정보로 사용자를 속여 송금 유도) △야후(Yahoo) 전자우편으로 위장한    http://spoonfulcafeandliving.com.au/baba/login.html (사용자의 계정과 비밀번호 편취) 등 차례로 꼽혔다.

지난 21일 중국에서 공격성이 컸던 피싱 사이트 톱5에는 △텅쉰의 온라인 게임으로 위장한 www.xihacf.com/ △중국판 TV 프로그램 ‘아빠 어디가’를 가장한 http://bby65.com/ △중국공상은행을 사칭한 http://23.234.25.182/icbc/default.htm △가짜 온라인 구매(쇼핑)류 www.yadaegf.cn/ (가짜 구매 정보로 사용자를 속여 송금 유도) △가짜 구글(Google) 전자우편류 http://dransfields.co.uk/hed/(사용자의 계정과 비밀번호 정보 훔침) 등이 지목됐다.

이어 22일 중국에서 활개를 친 피싱사이트 톱 5은 △중국판 인기 TV 프로그램 ‘보이스 오브 차이나’를 가장한 http://woyo.so/js/www.zjstv.com/ (방송 프로그램 주관 당첨 정보로 사용자를 속여 계정과 비밀번호 훔침) △중국건설은행을 사칭한 www.11183pu.tk/pay/jian/ (사용자 카드 번호와 비밀번호 정보 편취) △중국공상은행을 사칭한 www.icbcjq.com/ △중국 최대 온라인 결제 대행 사이트인 즈푸바오를 사칭한 http://gvuyrhf.com/a1-1.asp?Bank=CCB (사용자 계정과 비밀번호 빼냄) △가짜 의약류 http://xfl.fhyx520.com/ 등 순이었다.

지난 23일 피싱 사이트 톱5은 △텅쉰의 온라인 게임을 가장한 www.cf986.com/download/index.htm △허위 온라인 구매류 www.hrblqsxz.cn/ △중국공상은행을 사칭한 http://174.139.177.219/lcbc/ △허위 금융류 www.cdcx-vc.com/ (허위 정보로 사용자 금전 사기 편취) △허위 아웃룩(Outlook)류 www.blueskyinfratech.com/images/(사용자의 계정과 비밀번호 편취) 등 차례였다.

주말이 들었던 24일~26일 피싱 사이트 톱5에는 △텅쉰의 온라인 게임으로 위장한 www.xwcfxw.com/index-5.html △중국공상은행을 사칭한 http://wap.cicbi.com/ △가짜 P2P류 www.marubeni-it.com (허위 자금 대출 정보로 사용자를 속이고 금전 편취) △허위 의약류 http://qd.zimilan.com/ △구글 전자우편으로 가장한 http://users17.jabry.com/dpbxx/Db/File/Dropbox.html 등이 차례로 꼽혔다.

루이싱의 보안 시스템 통계에 따르면, 지난주 중국내 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 20일 연인원 1만3,649명, 21일 1만5,402명, 22일 1만0,948명, 23일 1만1,245명, 24일~26일 연 4만0,623명으로 집계됐다. 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 20일 7,162개, 21일 8,038개, 22일 6,256개, 23일에는 5,743개로 줄었으며, 24일~26일 2만2,375개에 달했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>