• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 7월 셋째주 PC 바이러스·피싱사이트 톱5 2015.07.22

PC에 ‘악성 광고’ 심고 인터넷 속도 하락·피싱 사기 활개

피싱 사이트 2만400여개 탐지돼...中 누리꾼 11만명 공격 받아


[보안뉴스 온기홍=중국 베이징] 중국에서는 지난주 컴퓨터 백그라운드에서 해커가 지정한 웹주소와 연결하고 악성 광고를 강제로 내보내며, 컴퓨터 속도를 늦추면서 온라인 피싱 사기를 야기하는 새 바이러스가 활개를 친 것으로 나타났다. 또한 지난 한주 중국에서 정보보안 업체가 찾아낸 피싱 사이트 수는 2만400여개에 달했으며, 중국 누리꾼 11만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.


中 7월 13일~19일 주요 PC 바이러스

중국 정보보안회사인 루이싱정보기술은 지난 7월 13일~19일 한 주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘AdWare.Win32.MultiPlug.ae’라고 밝혔다.


이 ‘악성 광고’ 바이러스는 컴퓨터 시작과 함께 활동을 개시할 수 있도록 조작하며, 백그라운드에서 PC를 해커가 지정한 웹주소에 몰래 연결시킨다. 이어 PC 사용자에게 해커가 지정한 광고들을 강제로 내보냄으로써 특정 광고주에게 트래픽을 늘려 준다. 컴퓨터가 이 바이러스에 감염되면, 컴퓨터 작동 속도가 느려지고 네트워크 자원도 대량 점용되며, 나아가 사용자가 온라인 피싱 사기 피해까지 입을 수 있다.

▲ 7월 13일~19일 중국내 주요 PC 바이러스 (출처:중국 루이싱정보기술)

루이싱이 자사 보안시스템의 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 13일에는 ‘Trojan.Script.BAT.Agent.eq’가 지목됐다. 루이싱정보기술은 ‘클라우드 보안’ 시스템을 통해 연 2만5,179명으로부터 신고를 받았다고 밝혔다.


이 바이러스가 활동을 개시한 뒤, 해커는 IPC를 통해 감염된 운영체제(OS)에 들어가며, 임으로 방화벽 안의 보안 서비스 작업을 중지시킬 수 있다. 동시에 관리자 계정을 늘려 감염된 컴퓨터를 통제하게 된다.


이어 14일 중국에서 널리 퍼진 대표적인 PC 바이러스는 ‘Worm.Script.VBS.Agent.cq’. 연 2만5,239명이 신고한 이 웜(worm) 바이러스는 PC에 설치된 유명 백신S/W들을 찾아 실행을 중지시킨다. 또 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 시작한다. 백그라운드에서 PC를 해커가 지정해 놓은 웹주소에 연결시켜 해당 웹주소의 트래픽을 늘리고 대량의 네트워크 자원을 점용한다.


또한 15일에도 웜 바이러스인 ‘Worm.Win32.Autorun.txw’가 중국에서 크게 번졌다. 연 2만5,090명이 신고한 이 웜 바이러스는 이동저장장치를 통해 퍼져 나간다. 대량의 트로이목마 바이러스를 PC에 내려 받는 것으로 드러났다.


지난 16일 중국에서 기승을 부린 대표적인 바이러스에는 ‘Trojan.Win32.Delf.zdj’가 꼽혔다. 연 2만4,701명이 신고했다. 이 바이러스는 PC내 여러 백신 S/W와 보안 툴들을 찾아 중지시킨다. 또 레지스트리를 수정해 컴퓨터 시작과 함께 활동을 개시한다. PC를 해커가 지정한 웹사이트에 연결시켜 많은 바이러스들을 내려 받는 것으로 밝혀졌다.


주말이 낀 17일~19일 사흘 동안 중국에서 활개를 친 대표적인 바이러스는  ‘Trojan.Script.VBS.StartPage.vd’. 연 2만4,816명이 신고한 이 바이러스는 시스템 파일을 이용해 바이러스 스크립트를 추가하며, 컴퓨터 바탕화면 상의 모든 바로가기를 변조시킨다. 이로써 사용자가 자신도 모르게 악성 웹사이트에 들어가게 만든다. 이 때문에 컴퓨터 속도는 느려지고 네트어크 속도도 떨어진다. 악성 사이트 방문 후에는 컴퓨터에 대량의 계정·비밀번호 절취류 트로이목마가 다운로드된다.


中 7월 셋째주 피싱사이트 발생 동향
루이싱정보기술은 지난 13일~19일 주 동안 자사 ‘클라우드 보안’ 시스템을 써서 탐지한 중국내 피싱 사이트 수가 2만405개라고 밝혔다. 한주 전보다 900여개 늘었다. 또한 지난 한 주 중국 누리꾼 가운데 11만 명이 피싱사이트들의 공격에 노출됐다고 이 회사는 덧붙였다. 피해자 수는 한 주 전보다 무려 3만명 증가했다.

이런 가운데 지난 주 중국에서는 페이팔(Paypal)을 가장한 피싱사이트 www.amagagotti.ru/include/2015/Login/update/를 비롯해, 온라인 게임으로 위장한 http://dnf4s.com/, 온라인 구매(쇼핑)을 가장한 http://sjdm.net/ 따위의 피싱 사이트들이 누리꾼들을 공격했다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨긴 채 누리꾼들을 속이고 인터넷뱅킹 계정·비밀번호와 중요한 개인 정보들을 노렸다.

지난 주 피싱사이트의 공격을 받은 중국 누리꾼 수를 보면, 13일에는 연인원 1만9,732명, 14일 연 1만5,466명, 15일 연 1만7,063명, 16일 연 1만6,563명, 주말이 든 17일~19일 사흘 동안에는 연 3만7,353명으로 각각 집계됐다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 13일 5,310개, 14일 3,734개, 15일 3,793개, 16일 4,859개, 17일~19일 8,486개였다.

일자별로 중국에서 기승을 부린 피사이트 ‘톱5’를 보면, 먼저 13일에는 △페이팔(PAYPAL)로 위장한 www.donateahunt.org/pp/validation/ (사용자를 속여 계정과 비밀번호 정보 빼냄) △가짜 의약류 www.ahjg.tk/lbfzt/ (허위 의약정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://qq890843.mg2.q7u.net/servlet/icbcinbsebusinessservlet/ (사용자 카드 번호와 비밀번호 편취) △허위 온라인 게임 (아이템·게임머니) 거래 www.76up.top/ (허위 거래 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 www.95533cr.com/ (사용자를 속여 계정과 비밀번호 훔침) 순으로 나타났다.

지난 14일에는 △아웃룩(Outlook)을 가장한 www.xcogroup.co.za/wp-admin/js/live.com/ (사용자 계정과 비밀번호 편취) △중국 최대 메신저·게임·포털 사이트 텅쉰(Tencent)를 가장한 www.cfheji.com/content/?499.html (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 www.fangdongban.com/ (허위 구매 정보로 사용자의 금전 편취) △중국공상은행을 사칭한 http://wap.cbcsx.com/ △야후(Yahoo) 메일을 가장한 http://firstevent-eg.com/js/file/yinput/id.php (사용자의 전자우편 계정과 비밀번호 정보 편취) 등 차례로 톱5에 들었다.


이어 15일 피싱사이트 톱5에는 △페이팔(Paypal)을 가장한 http://nascar.websitewelcome.com/~diyanzol/login.paypal/ △텅쉰으로 위장한 www.dnffuzhu77.com/ △허위 온라인 구매류 http://sanxings5.xu1514.com/ △중국건설은행을 사칭한 http://23.89.180.4/jswm/index.asp △지메일(Gmail) 전자우편으로 가장한 http://opticavenida.com.br/spacenasa/ (사용자의 e메일 계정과 비밀번호 훔침) 등이 포함됐다.


지난 16일 피싱사이트 톱5는 △아웃룩(Outlook)을 가장한 http://xxclips.net/outlook.verification/hotmail.phishing/ △텅쉰의 전자우편으로 위장한 http://149sl.com/005/index.htm (사용자의 계정과 비밀번호 빼냄) △허위 온라인 구매류 http://abcdefg1.jjzl.com.cn/tmall2/5s.php △중국건설은행을 사칭한 http://wap.ccbucm.com/ △지메일(Gmail)을 가장한 www.losstarot.org/trace/upCopy/ 순이었다.


주말이 포함된 17일~19일에는 △중국 최대 온라인 쇼핑사이트 타오바오(Taobao)를 가장한 http://ws68h.sgccuq.cn/ (허위 주문 정보로 사용자를 속여 계정과 비밀번호 빼냄) △온라인 게임으로 위장한 www.cf1987.com/ (허위 S/W 정보로 사용자 계정과 비밀번호 편취) △허위 온라인 구매류 www.taitongyi.com/sj/pg6/?st=sina △중국건설은행을 사칭한 www.cbcvu.com/ △지메일(Gmail) 전자우편함으로 위장한 http://www.jackcriddle.com/file/ayo/ 등이 톱5에 지목됐다.


한편 루이싱정보기술이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 13일 연인원 1만6,143명, 14일 연 1만7,203명, 15일 1만6,377명, 16일 연 1만5,601명, 17일~19일 사흘 동안 연 4만6,875명이었다. 트로이목마가 숨은 웹주소는 13일 5,432개, 14일 5,851개, 15일 5,618개, 16일 4,875개, 17일~19일 1만1,523개가 각각 탐지됐다고 이 회사는 밝혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>