• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 5월 둘째주 가장 기승 부린 바이러스·피싱사이트는? 2015.05.15

네트워크 자원 대량 점용·악성SW 다운로드 하는 웜 바이러스 출현

피싱사이트 2만1,800여개 탐지돼...中 누리꾼 9만명 공격 받아


[보안뉴스 온기홍=중국 베이징] 중국에서 지난주 파일 폴더 아이콘으로 위장하고 백그라운드에서 해커 쪽에 연결해 다른 악성 프로그램을 내려 받으며 네트워크 자원을 대량 점용하는 새로운 웜(worm) 바이러스가 컴퓨터 사용자들을 공격한 것으로 나타났다.

또한, 이 기간 중국에서 정보보안업체가 찾아낸 자국내 피싱 웹사이트는 2만1,800여개에 달했으며, 중국 누리꾼 9만 명이 피싱사이트의 공격을 겪은 것으로 드러났다.


中 5월 4일~10일 주간 주요 컴퓨터 바이러스

중국 정보보안업체 루이싱이 자사 ‘클라우드 보안’ 시스템의 모니터링 결과를 바탕으로 최근 내놓은 보고에 따르면, 지난 한주 동안 중국에서 기승을 부린 대표적인 새 컴퓨터 바이러스는 ‘Worm.Win32.Autorun.fap#RSUNPACK.a’였다.

이 웜 바이러스는 파일 폴더 아이콘으로 위장해 컴퓨터 사용자를 꾀어 클릭하게 한다. 또 레지스트리를 변조하고 시스템이 보안 모드에 진입하지 못하게 한다. 이어 137, 138, 139, 445 포트를 윈도우(Windows) 방화벽 열외에 추가시켜서 네트워크 방문 시 방화벽에 차단 당하는 것을 막는다고 루이싱은 밝혔다.

이 웜 바이러스는 백그라운드에서 컴퓨터를 해커가 지정한 웹 주소에 연결시킨 다음 다른 악성 프로그램들도 내려 받는다. 컴퓨터가 이 바이러스에 감염되면 시스템 작동 속도가 느려지고 네트워크 자원도 대량 점용된다고 보안전문가들은 지적했다.

 ▲ 5월 4일~10일 중국내 주요 컴퓨터 바이러스(출처: 중국 루이싱)


날짜별로 중국에서 기승을 부린 대표적인 컴퓨터 바이러스를 살펴보면, 5월 4일에는 ‘Trojan.PSW.Win32.QQPass.fnu’가 꼽혔다. 루이싱의 ‘클라우드 보안’ 시스템이 연인원 2만2,039명의 누리꾼으로부터 신고를 받은 이 바이러스는 백그라운드에서 컴퓨터 사용자의 입력 내용을 감시한다. 또 사용자의 온라인 메신저 ‘QQ’ 계정과 비밀번호를 훔쳐낸 다음 해커에게 보내는 것으로 밝혀졌다.


지난 5일에는 ‘Trojan.Win32.QQPass.ajz’가 중국에서 크게 번졌다. 연 2만2,039명이 신고한 이 바이러스는 컴퓨터에서 실행되고 있는 온라인 메신저 ‘QQ’를 취소시킨 동시에 로그인 창을 위조해 사용자에게 다시 QQ 비밀번호를 입력하도록 요구한다. 사용자가 이에 속으면, QQ 계정 정보가 해커가 지정한 서버로 발송되고, QQ 계정 도난과 중요 정보 유출 같은 위험에 놓이게 된다고 보안업계는 지적했다.

이어 6일 중국에서 활개를 친 대표적인 컴퓨터 바이러스로는 ‘Worm.Script.VBS.Agent.ck’가 지목됐다. 연 2만2,266명이 신고한 이 웜 바이러스는 유명 백신SW 실행 프로그램을 찾아 내 중지시킨다. 또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 바이러스 활동을 개시할 수 있게 한다.

이어 백그라운드에서 컴퓨터를 해커가 지정한 웹 주소에 연결시키고 악성 웹주소의 트래픽을 늘리며, 네트워크 자원을 대량 점용한다고 루이싱은 밝혔다. 컴퓨터가 이 웜 바이러스에 감염될 경우 네트워크가 느려지게 된다.

지난 7일에는 ‘Trojan.Win32.Buzus.fyy’가 많은 주목을 받았다. 연 2만2,340명이 신고한 이 바이러스는 감염된 컴퓨터의 C디스크 루트(root) 디렉터리에 감염 소스를 투입하고, 백신S/W를 강제로 중지시킨다고 루이싱은 밝혔다. 이어 컴퓨터의 디스크를 모두 살펴보고, 디스크 중 exe, html, asp, aspx, rar 등 파일을 감염시킨다. 또 전체 인트라넷에 연결된 다른 컴퓨터들을 감염시키면서 다른 많은 바이러스들을 내려 받는 것으로 드러났다.

주말이 든 8일~10일 사흘 동안 중국에서 가장 널리 퍼진 컴퓨터 바이러스는 ‘Trojan.PSW.Win32.QQPass.fnv┖로, 연 2만1,049명이 신고했다. 이 바이러스는 백그라운드에서 사용자의 입력 내용을 감시하며, 사용자의 온라인 메신저 ‘QQ’ 계정과 비밀번호를 훔쳐서 해커에게 발송하는 것으로 밝혀졌다.


中 5월 4일~10일 주요 피싱사이트

루이싱은 지난 한 주 보안 시스템을 써서 중국에서 2만1,832개의 피사이트를 찾아 냈으며, 중국 누리꾼 9만 명이 피싱 사이트의 공격을 받았다고 밝혔다. 탐지된 피싱 사이트 수는 한 주 전보다 80개 정도 많았다.

날짜별로 살펴 보면, 피싱사이트의 공격을 겪은 중국 누리꾼수는 5월 4일 연인원 1만1,477명, 5일 연 1만2,659명, 6일 연 1만1,897명, 7일에는 연 1만4,525명으로 늘었고, 주말인 든 8일~10일에는 연 3만5,389명에 달했다고 루이싱은 밝혔다.

루이싱의 보안 시스템이 찾아 낸 피싱 웹주소는 지난 4일 3,664개, 5일 3,969개, 6일 4,506개, 7일에는 5,667개로 계속 늘었고, 주말이 낀 8일~10일에는 8,930개를 기록했다. 특히 지난 주 중국에서는 최대 온라인 쇼핑 사이트 타오바오(Taobao)로 위장한 http://tgtuidang.enkqtg.info, 중국 최대 카드사 중국인롄을 사칭한 http://95516-db.com/ , 구글(Google) 메일을 가장한 http://ruchi.com.br/shagala 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정과 비밀번호, 중요 정보들을 노렸다.


날짜별로 중국에서 기승을 부린 피싱 사이트 톱5을 보면, 먼저 4일에는 △중국 최대 온라인 결제 대행 사이트인 즈푸바오를 사칭한 http://gfgr.pkalqbo.com/nx1sj.asp (허위 정보로 사용자를 속여 카드 번호와 비밀번호 빼냄) △가짜 온라인 구매(쇼핑)류 http://model29.xu1514.com/  (가짜 구매 정보로 사용자의 금전 편취) △중국 최대 은행인 중국공상은행을 사칭한 http://wap.icbccvtf.com/login.asp (사용자를 속여 카드 번호와 비밀번호 훔침) △가짜 의약류 www.dieyifang.org/(허위 의약 정보로 사용자를 속여 송금 유도) △야후(Yahoo) 전자우편으로 위장한 www.augalop.lu/Blessedup/Index.html (사용자의 계정과 비밀번호 편취) 등 차례로 꼽혔다.


지난 5일에는 △즈푸바오로 위장한 http://eretryuti.pkdiauc.com/nx.asp △가짜 구매류 http://sanxings5.xu1514.com/ △중국공상은행을 사칭한 http://wap.ccdasr.com/ △가짜 의약류 www.zlfbww.com/ △가짜 구글(Google) 전자우편류 http://energyinvestorwebcast.com/Dropbox-/dpbx/ (사용자의 계정과 비밀번호 정보 훔침) 등 차례로 톱5 안에 들었다.


이어 6일 중국내 피싱 사이트 톱5는 △중국 최대 메신저·게임·포털 사이트 텅쉰을 가장한 http://aqqb.net/ (허위 (상품 등) 수령 정보로 사용자를 속여 계정과 비밀번호 훔침) △허위 구매류 www.fukupa.com/ △중국건설은행을 사칭한 http://ccbdhine.com/ (사용자의 카드 번호와 비밀번호 편취) △가짜 의약류 www.zyshl.com/ △구글 전자우편으로 위장한 www.superglowreno.com/wp-admin/FILE/index.php 순이었다.

지난 7일 피싱 사이트 톱5에는 △텅쉰을 가장한 www.cf004.com/ (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 빼냄) △타오바오로 위장한 http://dft.mpneqyr.com/ △중국공상은행을 사칭한 www.cjfenc.com/ △가짜 의약류 www.yinmeilu8.com/ △야후(Yahoo) 메일로 위장한 www.homesenseind.com/images/updateY!.html (사용자의 계정과 비밀번호 편취) 순으로 지목됐다.

주말이 들었던 8일~10일 사흘 동안 중국에서 기승을 부린 5대 피싱 사이트는 △온라인 쇼핑 사이트 타오바오를 가장한 www.cb95188.ggurnpo.com/ (허위 주문서 정보로 사용자를 속여 계정과 비밀번호 훔침) △중국공상은행을 사칭한 www.ccdey.com/ △가짜 구매류 www.whereheartsmeet.com.cn/ △가자 의약류 www.120sr.com/ △페이스북(Facebook)으로 위장한 http://lou3ba.com/disp/prot/?i=181158 (사용자를 속여 계정과 비밀번호 빼냄) 등 차례였다.

이들 피싱 사이트들은 바이러스나 트로이목마를 숨기고 있으므로 누리꾼들은 이들을 클릭해서는 안 된다고 보안업계는 강조했다. 루이싱의 보안 시스템 모니터링 결과, 지난주 중국내 웹페이지에 숨어 든 트로이목마의 공격을 받은 중국 누리꾼 수는 4일 연인원 1만25명, 5일 1만1,905명, 6일에는 9,818명으로 줄었으며, 7일 연 1만773명, 8일~10일 사흘 동안 연 2만9,555명에 달했다.

루이싱 쪽이 탐지한 트로이목마 삽입 웹 주소는 4일 5,114개, 5일 5,718개, 6일에는 4,753개로 감소했으며, 7일 5,063개, 주말이 든 8일~10일에는 1만2,246개로 집계됐다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>