• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 7월 넷째주 PC바이러스·피싱사이트 톱5 2015.07.30

대량 바이러스 다운로드, 계정·비밀번호 훔치는 바이러스 활개

피싱 사이트 2만350여 개 탐지돼...中 누리꾼 12만명 공격 받아


[보안뉴스 온기홍=중국 베이징] 중국에서는 지난주 컴퓨터 백그라운드에서 해커가 지정한 웹 주소에 연결해 다른 악성 프로그램들을 내려 받고 인터넷 사이트 계정과 비밀번호를 훔치는 ‘Vaklik’란 이름의 새 바이러스가 활개를 친 것으로 나타났다. 또한 지난 한주 중국에서 정보보안회사가 찾아낸 피싱 사이트 수는 2만350여 개였다. 중국 누리꾼 가운데 12만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.


中 7월 20일~26일 주요 PC 바이러스

중국 정보보안회사인 루이싱정보기술은 지난 7월 20일~26일 한 주 동안 중국에서 주목을 받은 대표적인 PC 바이러스는 ‘Trojan.Win32.Vaklik.sh’ 였다고 29일 밝혔다. 이 바이러스는 활동 개시 후, ‘C:\WINDOWS\system32\jwedsfdo0.dll’을 설치하고 ‘C:\WINDOWS\explorer.exe’ 프로그램을 만든다.

▲ 7월 20일~26일 중국내 주요 PC 바이러스 (출처: 중국 루이싱정보기술)

또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시한다. 이어 백그라운드에서 해커가 미리 지정한 웹 주소에 연결해 다른 악성 프로그램들을 PC에 내려 받는다. 이로 인해 사용자는 여러 웹사이트 계정과 비밀번호를 도난당할 위험에 놓이게 된다.

루이싱이 보안 시스템의 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 20일에는 ‘Trojan.PSW.Win32.GameOL.qzw’가 지목됐다. 루이싱은 ‘클라우드 보안’ 시스템을 써서 연인원 2만4,890명으로부터 신고를 받았다고 밝혔다. 이 바이러스는 활동 개시 후 시스템 실행 프로그램 안에 주입되며, PC에 게임 프로그램을 찾아내어 게임 계정·비밀번호를 훔쳐 해커가 지정한 웹 주소로 보내는 것으로 밝혀졌다.


이어 21일에는 ‘Trojan.Win32.VBCode.fio’가 중국에서 널리 퍼졌으며, 연 2만5,002명이 신고했다. 이 바이러스는 활동 개시 후 자신을 숨기고, 컴퓨터 시작과 함께 자신이 자동으로 활동을 시작하도록 설정한다. 또 백그라운드에서 사용자 몰래 인터넷 익스플로러(IE) 브라우저를 운행시키며 해커가 지정한 웹 주소를 연다. 이어 PC내 숨김 폴더를 변조하고, 강제로 인터넷 홈페이지로 설정한다. PC에 설치된 보안 프로그램의 진행도 중지시킨다.

이에 따라 악성 웹사이트들이 이어져 나타나고 사용자는 피싱 사기와 웹 사이트 계정·비밀번호 도난 위험에 처하게 된다. 지난 22일 중국에서 기승을 부린 대표적인 바이러스는 ‘Backdoor.Win32.Prexot.B’. 연 2만4,264명이 신고했다. 이 백도어(Backdoor) 바이러스는 PC 시작과 함께 자동으로 활동을 개시할 수 있도록 설정한다.

또 PC에 설치된 백신 프로그램의 실행을 중지시키고, 백그라운드에서 FTP에 연결해 파일들을 내려 받아 ‘ftp.members.lycos.co.uk’를 실행한다. 이어 다른 악성 프로그램들도 내려 받고, 해커의 명령을 받으면서 백도어를 연다. 이로 인해 PC 사용자는 중요한 정보 유출과 여러 웹 사이트 계정·비밀번호를 도난 피해를 당할 수 있다.


또한, 23일에는 ‘Trojan.Win32.Generic.182215FF’가 크게 활개를 쳤다. 연 2만5,588명이 신고한 이 바이러스는 활동 시작 뒤 ‘C:\WINDOWS\system32\msnadt.exe’를 투입해 실행시킨다. 또 바이러스 프로그램을 이용해 시스템 프로그램을 대체하며, 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시켜 더 많은 바이러스들을 내려 받는다. 이 때문에 PC 사용자는 중요한 정보 유출과 인터넷 계정·비밀번호 도난, 인터넷 뱅킹 절취 같은 문제를 겪을 수 있다.


주말이 든 24일~26일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Worm.Win32.Autorun.fap#RSUNPACK.a’. 연 2만5,661명이 신고했다. 이 바이러스는 파일 폴더로 위장해 PC 사용자를 꾀어 클릭하게 한다. 레지스트리도 변조해 시스템이 보안 모드에 진입할 수 없게 만든다. 또 137, 138, 139, 445 포트에 윈도우 방화벽 열외를 추가해 네트워크 방문 시 방화벽에 의해 차단되는 것을 막는다.


백그라운드에서 PC를 해커가 지정한 웹 주소에 연결해 다른 악성 프로그램들을 내려 받는다. 이로 인해 컴퓨터 시스템 속도가 느려지고 네트워크 자원이 많이 점용되는 문제가 발생한다고 루이싱은 설명했다.


中 7월 넷째주 피싱 사이트 발생동향

루이싱은 지난 20일~26일 한주 동안 보안 시스템을 써서 탐지한 중국내 피싱 사이트 수가 2만354개라고 밝혔다. 한주 전과 비슷한 규모였다. 또한 지난 한주 중국 누리꾼 가운데 12만 명이 피싱 사이트들의 공격에 노출됐다. 피해자 수는 한주 전보다 1만 명 늘었다.


지난 주 피싱사이트의 공격을 받은 중국 누리꾼 수를 보면, 20일에는 연인원 1만6,723명, 21일 연 1만9,261명, 22일 연 1만8,786명, 23일 연 2만2,688명, 주말이 포함된 24일~26일 사흘 동안에는 연 4만2,171명이었다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 20일 4,535개, 21일 4,924개, 22일 5,513개, 23일 5,339개, 24일~26일 9,109개였다.

이런 가운데 지난 주에는 페이팔(Paypal)을 가장한 http://nascar.websitewelcome.com/~diyanzol/login.paypal/, 텅쉰(Tencent) 사이트로 위장한 www.dnffuzhu77.com/, 허위 온라인 구매(쇼핑)류 http://sanxings5.xu1514.com 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정과 비밀번호, 개인 중요 정보들을 편취한 것으로 드러났다. 이들 피싱 사이트들은 바이러스나 트로이목마를 숨기고 있다.

일자별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’ 선정 결과를 보면, 먼저 지난 20일에는 △중국 최대 전자상거래 사이트 알리바바(Alibaba)를 가장한 www.lietzen-ms.dk/wp-admin/cn.Aliwangwangz.html (사용자를 속여 계정과 비밀번호 훔침) △가짜 의약류 http://pfbhs.com/index.html (허위 의약 정보로 사용자를 속이고 송금 유도) △허위 온라인 구매류 www.sjdm.net/ (허위 구매 정보로 사용자의 금전 편취) △중국 최대 은행인 중국공상은행을 사칭한 www.qzzwadl.ga/servlet/icbcinbsebusinessservlet/ (사용자를 속여 카드 번호와 비밀번호 빼냄) △지메일(Gmail)을 가장한 www.iraqvid.com/caryl/Newfolder/index.htm (사용자를 속여 전자우편 계정과 비밀번호 훔침) 순으로 나타났다.

지난 21일에는 △허위 아웃룩(Outlook)류 www.royalmarthk.com/kambely/live.com/ (사용자를 속여 계정과 비밀번호 빼냄) △허위 의약류 http://pdfc.jxbbykm.net/pdf/?id=jfcp △허위 온라인 구매류 http://5s.hk-qc.com/ △중국공상은행을 사칭한 http://219.219.191.244/ △Gmail로 위장한 http://billscheidlerforrep.com/2015gdocs/ 등 차례로 톱5 안에 들었다.

이어 22일 피싱 사이트 톱5는 △애플(Apple)로 위장한 www.ateliers.e-com.pro/wp-admin/css/colors/fr/index.php (사용자를 속여 계정과 비밀번호 훔침) △허위 의약류 www.bebejia.com.cn/aoya/index.asp △온라인 게임으로 위장한 www.cfhama.com/ (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 빼냄) △중국공상은행을 사칭한 http://wap.95533gy.cc/ △Gmail을 가장한 www.andersonalves.net/wp-content/ipad/ 이었다.

지난 23일에는 중국 최대 온라인 금전 결제 사이트 즈푸바오를 가장한 http://er.scutg.science/ed.asp (허위 환불 정보로 사용자를 속여 카드 번호와 비밀번호 훔침) △허위 의약류 www.chnjiajiao.cn/ △온라인 게임으로 가장한 http://cf123zsw.com/ △중국공상은행을 사칭한 http://ccvya.com/ △Gmail로 위장한 http://intersonicsystems.com/dropbox/ 순으로 톱5 안에 지목됐다.

주말이 들었던 24일~26일에는 △Paypal을 사칭한 http://paypal.com.kurcums.lv/webapps/b5304/home (사용자를 속여 계정과 비밀번호 훔침) △허위 의약류 www.52jiarenwang.com/cobor/index.htm △온라인 게임으로 위장한 www.jdcfsq.com/ △중국공상은행을 사칭한 http://ccxaj.com/ △Gmail로 위장한 www.shopasdelight.com/biz/online/order.php 등 피싱 사이트 톱5가 중국 누리꾼들의 금전과 정보를 노렸다.

루이싱정보기술은 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 20일 연인원 1만5,177명, 21일 연 1만6,044명, 22일 1만4,885명, 23일 연 1만7,590명, 주말이 든 24일~26일 사흘 동안 연 4만5,710명이었다고 밝혔다.

또한 트로이목마가 숨은 웹 주소는 20일 4,359개, 21일 4,592개, 22일 3,417개, 23일 5,294개, 24일~26일 1만4,287개가 각각 탐지됐다고 이 회사는 덧붙였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>