“PC 안전모드 항목 삭제...은행 계좌번호 도난” 새 바이러스 출현

피싱 사이트 18,570여개 탐지...10만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 주 PC내 레지스트리 안전 모드 관련 항목을 삭제해 시스템이 안전 모드에 들어 갈 수 없게 만들고 컴퓨터 사용자의 인터넷 계정·비밀번호와 은행 계좌번호를 빼내는 새 바이러스가 활개를 친 것으로 나타났다. 또한 이 기간 중국에서 정보보안업체가 찾아낸 피싱사이트 수는 1만8,570여 개였으며, 중국 누리꾼 10만 명이 피싱 사이트의 공격에 노출됐던 것으로 드러났다.

中 8월 17일~23일 주요 PC 바이러스

중국 정보보안회사인 루이싱정보기술은 지난 8월 17일~23일 한 주 동안 중국에서 이목을 끈 대표적인 PC 바이러스는 ‘Trojan.Win32.Undef.tfn’ 였다고 밝혔다. 이 바이러스는 활동 개시에 나선 뒤 자신을 기타 디렉터리에 복사하고 파일 폴더 아이콘으로 위장한다. 이어 디스크 루트 디렉터리 아래 ‘AutoRun.inf’를 추가하며, 숙주 프로그램을 실행한다고 루이싱은 설명했다.

또 코드를 주입하고 EIP를 수정해 자신의 코드를 실행한다. 이로써 PC 사용자가 이를 정상적인 프로그램 ‘%ProgramFiles%\Internet Explorer\IEXPLORE.EXE’으로 판단하게 한다.

이 바이러스는 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시켜 다른 악성 프로그램들을 내려 받으며, 레지스트리 중의 안전 모드 관련 항목을 삭제해 시스템이 안전 모드로 들어 갈 수 없게 만든다. 루이싱 쪽은 이 바이러스에 대한 경계 정도로 별 다섯 개 중 네 개를 매겼다. 컴퓨터가 이 바이러스에 감염되면, 사용자는 인터넷 사이트 계정과 비밀번호를 비롯해 인터넷 뱅킹 계정과 비밀번호도 도난당할 위험에 놓이게 된다.

루이싱이 보안시스템을 활용한 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 18일에는 ‘Trojan.Win32.Generic.16D15818’이 꼽혔다. 루이싱은 ‘클라우드 보안 시스템’을 써서 연인원 2만4,110명으로부터 신고를 받았다.

이 바이러스는 활동 개시 후 해커가 미리 지정한 웹주소에 연결해 다른 악성 프로그램들을 PC에 내려 받으며, 다른 설치 파일도 내려 받는다. 비밀번호를 푼 뒤, 바이러스는 많은 웹주소들이 해커를 위해 트래픽을 늘리고 광고 팝업 창도 띄우게 한다고 루이싱은 설명했다. 이 바이러스에 감염된 PC에서는 네트워크 속도가 느려지고, 네트워크 트래픽이 대량 점용되며 시스템 운행 속도도 떨어지는 문제가 일어날 수 있다.

지난 20일에는 ‘Trojan.Win32.Generic.16DF65DD’가 중국에서 기승을 부렸다. 연 2만4,233명이 신고한 이 바이러스는 PC에 있는 바이러스 퇴치 S/W의 실행을 중지시킨다. 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시켜 많은 바이러스들을 내려 받는다. 컴퓨터가 이 바이러스에 감염되면, 시스템 운행 속도가 느려지고 중요한 파일들이 훼손되며 사용자의 인터넷 뱅킹 계정과 비밀번호 도난 및 개인 정보 유출 등의 위험이 발생할 수 있다.

주말이 포함된 21일~23일 중국에서 활개를 친 대표적인 PC 바이러스는 ‘Worm.Win32.Autorun.txm’ 였다. 연 2만3,390명이 신고한 이 웜(worm) 바이러스는 이동형 외장장치를 통해 전파된다. 또 많은 트로이목마들을 PC에 내려 받음으로써 보안을 위협하는 것으로 드러났다.

中 8월 17일~23일 피싱 사이트 발생 동향

루이싱은 지난 17일~23일 한 주 동안 ‘클라우드 보안시스템’을 써서 탐지한 중국내 피싱 사이트 수가 1만8,752개라고 밝혔다. 한 주 전에 비해 4,660개 정도 줄었다. 이 기간 중국 누리꾼 가운데 10만 명이 피싱 사이트들의 공격을 받았다고 루이싱은 덧붙였다. 피해자 수는 한 주 전보다 2만 명 감소했다.

피싱 사이트의 공격을 받은 중국 누리꾼 수를 보면, 지난 18일에는 연인원 1만8,071명, 20일에 1만6,627명, 주말이 포함된 21일~23일에는 연 3만8,203명에 달했다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 18일에 5,337개, 20일 4,571개, 21일~23일 9,767개였다.

또한 이 기간에는 가짜 이동전화 선불 요금 카드 구매·충전류 www.lthe365.com/, 허위 의약류 http://jf.makam.cn/, 허위 온라인 구매(쇼핑)류 http://sztypf.com/ 따위의 피싱 사이트들이 인터넷 뱅킹 계정과 비밀번호, 개인 정보 등을 훔쳤다. 이들 피싱 사이트는 바이러스나 트로이목마가 숨기고 있으므로 누리꾼들은 이를 클릭해서는 안 된다고 보안 업계는 강조했다.

일자별로 중국에서 널리 퍼진 피싱 사이트 ‘톱5’ 선정 결과를 보면, 먼저 지난 18일에는 △중국 최대 온라인 쇼핑몰 타오바오를 가장한 http://ccbby.pw/index.asp(사용자를 속여 카드 번호와 비밀번호 정보 훔침) △가짜 의약류 www.youkang100.net/zhuanti/jingfangjianfa/(허위 의약 정보로 사용자를 속여 송금 유도) △온라인게임으로 가장한 www.220221.net/(허위 S/W로 정보로 사용자를 속여 카드 번호와 비밀번호 정보 빼냄) △중국건설은행을 사칭한 www.wap-cboq.com/index.asp(사용자 카드 번호와 비밀번호 편취) △지메일(Gmail)로 위장한 http://pacificsensor.com/wp-includes/fonts/p/dbw/dropboxq/(사용자를 속여 전자우편 계정과 비밀번호 훔침) 순으로 ‘톱5’ 안에 꼽혔다.

지난 20일 중국내 피싱 사이트 ‘톱5’는 △페이팔(Paypal)을 가장한 https://seamless.hostnac.com/~afycasac/refidox-privat/index/(사용자를 속여 카드 번호와 비밀번호 빼냄) △가짜 의약류 http://jf.ulikes.cn/ △온라인게임을 가장한 www.cf4444.com/ △중국건설은행을 사칭한 http://wap.jians5533.com/index.asp △구글(Google)로 위장한 http://silverservicetaximelbourne.com.au/test/lockup/dpbx/ (사용자를 속여 전자우편 계정과 비밀번호 훔침) 등 차례였다.

주말이 들었던 21일~23일 사흘 동안에는 △페이스북(FackBook)으로 위장한 http://xxnxsex8.gq/ccmy/(사용자를 속여 계정과 비밀번호 빼냄) △가짜 의약류 http://sina.c99j.com/ △온라인게임으로 위장한 www.shuawuying.com/(허위 S/W 정보로 사용자를 속여 계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://211.81.31.5/ △구글로 위장한 http://escogidos.cl/docc/ggdc/ 순으로 톱5에 지목됐다.

한편 루이싱정보기술이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마로부터 공격을 받은 중국 누리꾼 수는 18일 연인원 1만7,246명, 20일 연 1만3,634명, 주말이 들었던 21일~23일 사흘 동안 연 3만2,640명이었다. 트로이목마가 숨은 웹주소는 18일 3,627개, 20일 3,876개, 21일~23일 7,175개가 각각 탐지됐다고 이 회사는 밝혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>