• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 9월 셋째주 PC바이러스와 피싱사이트 ‘톱5’ 2015.09.24

새 웜 바이러스, 시스템 관리자 공격...백도어 열어 줘

中 보안업체 피싱 사이트 1만5,500개 탐지...누리꾼 8만명 피해


[보안뉴스 온기홍=중국 베이징] 중국에서 9월 셋째주 PC 사용자의 인터넷 계정과 비밀번호를 훔치고 취약한 암호를 이용해 시스템 관리자를 공격하며, 해커에게 백도어를 열어주는 ‘에이전트(Agent)’란 이름의 새 웜(worm) 바이러스가 기승을 부린 것으로 나타났다.

또 지난주 중국 보안업체가 자국에서 찾아낸 피싱 사이트 수는 약 1만5,500개, 피싱 사이트의 공격에 노출된 중국 누리꾼은 8만명으로 각각 한 주 전보다 줄었다.


中 9월 14일~20일 주요 PC 바이러스

중국 정보보안회사인 루이싱정보기술은 지난 14일~20일 한주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Worm.Win32.Agent.auz’라고 밝혔다. 이 웜 바이러스는 활동 개시 뒤 시스템 파일을 감염시키고 사용자의 인터넷 계정을 훔치며, 해커에게 백도어를 열어 준다.

▲ 9월 14일~20일 중국내 주요 PC 바이러스 (출처:중국 루이싱정보기술)


또 ‘Windows Management Protocol v.0(experimental)’란 이름의 서비스를 시작해 모든 ‘EXE’ 파일을 ‘zmx’로 바꾸고, 숨김 속성으로 설정한다. 이 바이러스는 취약한 암호를 이용해 시스템 관리자에 대해 공격을 진행하고, 전자우편 프로그램의 연락처 리스트를 읽어 들이며, 연락처 리스트에 있는 사람들에게 바이러스가 들어 있는 전자우편을 보낸다. 이 때문에 컴퓨터 사용자의 인터넷 계정과 비밀번호가 도난 당하고 컴퓨터는 해커의 손에 놓이게 된다고 루이싱은 설명했다.


루이싱이 보안 시스템의 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 14일에는 ‘Worm.Win32.TaopuLS.b’가 지목됐다. 루이싱의 보안 시스템이 연인원 2만3,520명으로부터 신고를 받았다. 이 웜 버이러스는 활동 개시 뒤 스스로 파일을 만들고, 숨김 속성으로 설정하고 동시에 일정한 시간을 두고 이동저장장치에 자신을 복제한다.


또 파일 폴더로 위장해 사용자를 꾀어 클릭하게 만들며, 네트워크 중 공유 정보를 찾아본다. 다른 컴퓨터를 방문해 자신의 복제를 시도하며, 디스크 파일을 검색해 전자우편 주소를 골라 내기도 한다. 아울러 음란 사이트를 미끼로 해서 첨부 파일 안에 바이러스를 위장시키고 메일을 집단 발송함으로써 다른 사용자들에게 감염 피해를 입힌다.


이어 15일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Trojan.Script.VBS.StartPage.uu’ 였다. 연 2만3,634명이 신고한 이 트로이목마는 시스템 파일을 이용해 바이러스 스크립트를 추가하며, 바탕화면 상의 모든 바로가기를 변조시킨다. 사용자가 정상적인 아이콘과 흡사한 가짜 아이콘을 클릭하게 되면, 바이러스가 실행되고, 해커가 지정한 악의적 웹주소도 방문하게 된다. 바이러스가 모든 바탕화면의 바로가기를 변조했기 때문에 사용자가 모르는 사이 마구 악성 사이트를 접속하게 되는 것이다.


이로 인해 컴퓨터 속도가 느려지고 인터넷 속도도 떨어지며, 악성 사이트를 방문한 뒤엔 컴퓨터에 대량의 계정 절취류 트로이목마가 깔리게 된다. 지난 16일에는 ‘Worm.Win32.FakeFolder.cm┖ 이 중국에서 크게 번졌다. 연 2만3,414명이 신고한 이 웜 바이러스는 활동에 나선 뒤 PC 안에 설치된 바이러스 백신 SW를 피하기 위해, 현재 실행되고 있는 보안 SW 실행 과정을 중지시킨다.


또 레지스트리를 수정해 백신 SW가 재차 활동을 개시하지 못하게 하거나 나아가 보안 SW 아이콘을 삭제해 백신 프로그램을 숨기기까지 한다. 바이러스 개발자는 바이러스가 수동으로 삭제되지 못하도록 운영체제의 안전 모드를 못쓰게 하며, 사용자가 레지스트리 편집기를 열 수 없게 만든다고 루이싱은 설명했다. 이 바이러스는 바탕화면에 여러 피싱 사이트의 바로가기도 만들고, 사용자가 해커가 지정해 놓은 웹사이트에 들어가게 유도한다.


17일 중국에서 활개를 친 대표적인 PC 바이러스는 ‘Trojan.Win32.VbUndef.a’로, 연 2만3,041명이 신고했다. 이 바이러스는 hosts 파일을 수정하고, 여러 보안 SW업체의 웹주소를 통제해 사용자가 이들 웹사이트를 여는 것을 막는다. 또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시하고, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시켜서 더 많은 바이러스들을 하드 디스크에 내려 받는다. 이 때문에 컴퓨터 사용자의 중요한 정보 유출과 함께 각종 인터넷 계정과 비밀번호 도난 위험을 맞게 된다.


주말이 들었던 18일~20일에는 ‘Trojan.win32.Generic.16E37063’가 중국에서 널리 퍼졌다. 이 바이러스는 활동에 나선 뒤 인터넷 익스플로러 디렉터리 아래 자신을 복제하고 이름을 ‘taskmgr.exe’로 다시 짓는다. 이어 시스템 파일로 위장하고, 원 파일을 자동으로 삭제시키며, 레지스트리를 통해 ‘taskmgr.exe’ 파일을 시작 프로그램 항목으로 설정한다. 백그라운드에서 PC를 해커가 지정해 놓은 웹주소에 연결시켜서 악성 파일들을 내려 받는다. 이 악성 파일은 시스템 보안 취약점을 이용해 PC 안의 민감한 정보들을 빼내고 해커가 지정한 서버로 보낸다. 연 2만3,088명이 신고했다.

 

中 9월 셋째 주 피싱 사이트 발생 동향

루이싱은 지난 9월 14일~20일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 써서 탐지한 중국내 피싱 사이트 수가 1만5,457개라고 밝혔다. 한 주 전보다 5,150여개 늘었다. 이 기간 중국 누리꾼 가운데 8만 명이 피싱 사이트들의 공격에 노출됐다. 이는 한 주 전에 비해 2만 명 감소한 규모다.

지난 주 중국에서는 페이스북(Facebook)을 가장한 http://alaynagider.blogcu.com/, 온라인게임으로 위장한 www.tlcfsq.com/, 온라인 구매(쇼핑)을 가장한 http://model29.xu1514.com/ 등 비롯한 피싱 사이트들이 활개를 쳤다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨긴 채 누리꾼들의 인터넷뱅킹 계정, 비밀번호와 개인정보들을 빼냈다.

지난 주 피싱 사이트의 공격을 받은 중국 누리꾼 수를 보면, 지난 14일에는 연인원 1만1,717명, 15일 연 1만3,106명, 16일 연 1만4,383명, 17일 연 1만3,292명, 주말이 포함된 18일~20일 사흘 동안에는 연 3만6,423명으로 각각 집계됐다. 루이싱이 보안 시스템을 써서 탐지한 피싱 웹주소는 14일 2,947개, 15일 3,316개, 16일 3,689개, 17일 3,582개, 18일~20일 6,731개였다.

날짜별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 먼저 14일에는 △페이스북을 가장한 http://mtf-online.com/wp-content/cache/ (사용자를 속여 카드 번호와 비밀번호 훔침) △온라인게임으로 위장한 http://cfzhanlong.com/ (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 빼냄) △허위 구매류 www.120sr.com/ (허위 구매 정보로 사용자를 속여 금전 빼냄) △중국건설은행을 사칭한 www.cbkgy.com/index.asp (사용자를 속여 카드 번호와 비밀번호 훔침) △구글(Google)을 가장한 www.2updesign.com/google/ (사용자를 속여 전자우편함 계정과 비밀번호 훔침) 순으로 꼽혔다.

지난 15일 중국내 피싱 사이트 ‘톱5’는 △페이팔(Paypal)로 가장한 http://cevreorman.org.tr/v2/dergi/sayi002/home/4632970i5x/ (사용자를 속여 카드 번호와 비밀번호 뺴냄) △허위 구매류 http://kam.kamaga.cn/ △까자 의약류 www.ailaiyachina.com/ (허위 의약 정보로 사용자를 속여 금전 빼냄) △중국건설은행을 사칭한 http://173.208.243.121/index.asp △구글을 가장한 www.srasee.com/images/login/dropbox/ 등 차례였다.

이어 16일에는 △페이팔을 가장한 www.paypalcz.cz/preklady/signup.htm △허위 온라인 구매류 http://gps.cagps.cn/ △허위 의약류 http://qb.zimilan.org/ △중국건설은행을 사칭한 www.bacc95533.com/ △구글로 위장한 www.sreeraj.emegha.com/emeg/ 순으로 ‘톱5’에 지목됐다.

17일 기승을 부린 대표적인 피싱 사이트들은 △중국 최대 전자상거래 그룹 알리바바(Alibaba)로 가장한 http://newfoundmarketing.ca/wp-includes/css/index.html (사용자를 속여 카드 번호와 비밀번호 빼냄) △허위 온라인 구매류 http://shier8.com/ △허위 의약류 www.miaotiao315.com/ △중국건설은행을 사칭한 www.andawang.com/ △구글로 위장한 http://colegiomiramar.cl/fonts/share/2015/ 등이었다.

주말이 든 18일~20일 사흘 동안 중국에서 활개를 친 피싱 사이트 ‘톱5’는 △페이팔을 가장한 www.autocosmi.ro/pp2/8a28c29a2d56ab54258c259a521601e2/ △온라인게임을 가장한 www.sqzzg.com/ △허위 온라인 구매류 www.szgh88.net/ △중국건설은행을 사칭한 http://42.236.75.150/ △구글 전자우편함으로 가장한 www.maxbase.com.br/lojaodonto/wp-admin/user/PDF%20-01/ 순으로 꼽혔다.

한편, 루이싱이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 9월 14일 연인원 1만833명, 15일 연 1만2,445명, 16일 연 1만1,415명, 17일 연 1만1,125명, 주말이 들었던 18일~20일 사흘 동안에는 연 3만2,049명이었다. 트로이목마가 숨은 웹주소는 지난 14일 3,115개, 15일 3,260개, 16일 3,625개, 17일 2,858개, 18일~20일에는 7,286개가 각각 탐지됐다고 이 회사는 밝혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>