루이싱이 보안 시스템의 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 21일에는 ‘Trojan.Script.VBS.Dole.b’가 지목됐다. 루이싱이 보안 시스템을 써서 연인원 2만2,706명으로부터 신고를 받았다. 이 바이러스는 PC 사용자가 엑셀(Excel) 프로그램을 열 때 즉시 바이러스 파일을 실행한 데 이어 시작 파일 폴더 안에 자신을 복제해 이 파일이 수시로 업데이트 되게 한다.

또 사용자의 파일을 수정해 악성코드를 오피스(Office) 파일에 주입시킴으로써 오피스 성능과 정상적 기능에 심각한 영향을 끼치며, 문서가 정상적으로 열리지 못하는 일까지 야기한다. 동시에 이 바이러스는 오피스의 운행 속도에도 영향을 끼치고, 아웃룩(Outlook) 프로그램을 검색해 연락처로 정시에 바이러스가 삽입된 전자우편을 발송해 전파 범위를 넓힌다. 이로 인해 기업 사용자의 정상적인 업무에 악영향을 끼친다.

이어 22일 중국에서 활개를 친 대표적인 PC 바이러스는 ‘Worm.Win32.Autorun.txi’ 였다. 연 2만2,932명이 신고한 이 웜(worm) 바이러스는 이동저장장치를 통해 전파되며, 보호 기능을 진행한다고 루이싱은 설명했다. 또 대량의 트로이목마를 PC에 내려 받는다.

지난 23일에는 바이러스 ‘Trojan.Win32.Generic.172CB765’가 크게 번졌다. 이 바이러스는 P2P기술을 응용해 MKV, RMVB, MPEG, AVI, WMV 등 음성·영상 파일 형식을 지원하는 프로그램인 콰이보(Qvod)로 위장해 사용자를 꾀어 PC에 내려 받아 설치하게 한다. 이어 바이러스는 활동에 나서 해커가 지정한 웹주소를 열고 구성 파일을 내려 받는 동시에 바이두(Baidu), UC, 음악FM 등 웹사이트에 연결해 S/W를 내려 받아 자동으로 설치해 실행시킨다.

이 바이러스는 또 백그라운드에서 해커가 지정한 웹사이트를 열고 트래픽을 늘리는 것으로 드러났다. PC가 이 바이러스에 감염될 경우, 불필요한 SW를 강제로 내려 받게 되며, 네트워크 속도 역시 큰 폭으로 떨어지게 되다고 루이싱은 밝혔다. 연 2만3,233명이 신고했다.

24일에는 ‘Worm.Win32.Gamarue.q’가 중국에서 널리 퍼졌다. 연 2만2,904명이 신고한 이 웜 바이러스는 시스템 실행 프로그램을 주입하고 다른 바이러스 프로그램을 실행한다. 시스템 파일 폴더 아래 자신을 복사하고 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활성화하게 만든다. 이어 PC를 해커가 지정한 웹주소에 연결시켜 다른 바이러스들을 내려 받고 PC 안의 중요한 정보들을 수집해 해커 쪽으로 보낸다.

주말이 든 25일~27일 사흘 동안 중국에서 기승을 부린 바이러스는 ‘Trojan.Win32.Generic.172CBC9F’ 였다. 이 바이러스는 정상적인 S/W에 묶여 전파를 진행하며, PC 사용자가 비공식 다운로드 경로에서 파일을 내려 받을 때 이런 바이러스의 공격을 쉽게 받게 된다.

이 바이러스는 ‘c:\docume~1\admini~1\locals~1\temp\851578.ini’ 파일을 투입하며, 시스템 ‘regini.exe’을 전용해 등록을 진행하고, 브라우저 홈페이지를 ‘2345’ 웹주소로 바꾼다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결해 광고성 SW를 내려 받는다. PC가 이 바이러스에 감염되면, 네트워크 자원과 시스템 자원이 대량 점용되고 시스템 운행에 과도하게 느려지는 문제가 발생한다고 루이싱은 설명했다.

中 9월 넷째 주 피싱 사이트 발생 동향

루이싱은 지난 9월 21일~27일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 써서 탐지한 중국내 피싱 사이트가 1만8,782개라고 밝혔다. 중국 내 누리꾼 가운데 8만 명이 피싱 사이트의 공격에 노출됐다고 루이싱은 덧붙였다.

지난 주 피싱 사이트의 공격을 받은 중국 누리꾼 수를 보면, 지난 21일에는 연인원 9,068명, 22일 연 1만1,802명, 23일 연 9,327명, 24일 연 9,733명, 주말이 포함된 25일~27일 사흘 동안에는 연 3만1,307명으로 각각 집계됐다.

루이싱이 보안 시스템을 써서 탐지한 피싱 웹주소는 21일 2,513개, 22일 2,999개, 23일 2,790개, 24일 2,342개, 25일~27일 6,211개였다. 특히, 지난 주 중국에서는 페이팔(Paypal)을 사칭한 www.paypalcz.cz/preklady/signup.htm, 온라인 구매(쇼핑)을 가자안 http://gps.cagps.cn/, 허위 의약류 http://qb.zimilan.org/ 를 비롯한 피싱 사이트들이 누리꾼을 겨냥했다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨긴 채 누리꾼들의 인터넷뱅킹 계정·비밀번호와 개인 정보들을 빼냈다.

날짜별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 먼저 21일에는 △페이팔(Paypal)을 가장한 http://sogiitx.org/paypal/au/account/secure/updates/login.htm (사용자를 속여 카드 번호와 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://vip.weiku89.nmcyw.com/w16/ (허위 구매 정보로 사용자의 금전 편취) △온라인게임을 가장한 www.dnf9888.com/ (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://103.226.126.69/ (사용자를 속여 카드 번호와 비밀번호 훔침) △구글(Google)을 가장한 http://sachver-flores.de/%20./hereformoney.docs/ (사용자를 속여 전자우편함과 비밀번호 빼냄) 순으로 지목됐다.

이어 22일 중국에서 기승을 부린 피싱 사이트 ‘톱5’는 △페이스북(Facebook)으로 위장한 www.2couponing.com/loginfb/； (사용자를 속여 카드 번호와 비밀번호 빼냄) △온라인 구매를 가장한 www.syjzp.com/ △온라인게임으로 위장한 http://wg336.com/ △중국건설은행을 사칭한 www.cbcaya.com/index.asp △구글을 가장한 http://khdmconstruction.com/flex/contact.html 등 차례였다.

지난 23일에는 △페이스북을 가장한 www.2offers.org/loginfb/ △의약품을 가장한 http://msnsh.com/ (허위 구매 정보로 사용자를 속여 금전 훔침) △온라인 게임을 가장한 http://dnf987.com/showsp.asp?id=21 △중국건설은행을 사칭한 www.jfboi.com/index.asp △야후(Yahoo)를 가장한 www.avisrocchetta.gisoldiweb.it/xrehwer.htm (사용자를 속여 전자우편 계정과 비밀번호 훔침) 등이 피싱 사이트 ‘톱5’에 꼽혔다.

24일 중국에서 활개를 친 대표적인 피싱 사이트들은 △페이팔을 가장한 http://paypaldomains.com/ △의약품으로 위장한 www.yuejichina.com/ △온라인 게임을 가장한 www.dnfkx.com/ △중국건설은행을 사칭한 www.hbgcxrmyy.com/ccb/index.asp；△야후로 위장한 www.geophimax.com/post/image/page/Sign_yahoo.html 순이었다.

주말을 포함한 25일~27일 사흘 동안에는 △야후를 가장한 www.chefdongazz.com/ddocs/ddocs/ddocs/index.htm △가짜 의약류 www.lzhbj.com/index.html △온라인 게임으로 위장한 www.5sq.cc/ △중국건설은행을 사칭한 http://wap.adldb.com/index.asp △애플(Apple) 전자우편함을 가장한 www.ituneswereld.nl/ (사용자를 속여 계정과 비밀번호 빼냄) 등 차례로 피싱 사이트 톱5에 들었다.

한편 루이싱이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 9월 21일 연인원 1만391명, 22일 연 1만1,490명, 23일 연 1만861명, 24일 연 1만1명, 주말이 들었던 25일~27일 사흘 동안에는 연 2만9,002명이었다. 트로이목마가 숨은 웹주소는 지난 21일 2,767개, 22일 3,369개, 23일 3,441개, 24일 2,492개, 25일~27일에는 6,271개가 각각 탐지됐다고 이 회사는 밝혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>