온라인 메신저 및 인터넷 뱅킹 계정·비밀번호 빼내는 새 웜 바이러스 활개
中 누리꾼 5만6,400여명, 피싱 사이트 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 국경절(10.1) 연휴기간 중국 유명 온라인 메신저의 계정과 비밀번호를 훔치고 인터넷 뱅킹 정보까지 빼내는 새 웜(worm) 바이러스가 출현해 PC 사용자들을 공격한 것으로 나타났다. 또 이 기간 중국 정보보안업체가 탐지한 피싱 웹주소는 1만1,100여개에 달했고 중국 내 누리꾼 연인원 5만6,400여명이 피싱 사이트의 공격을 받은 것으로 드러났다.


中 9월 30일~10월 7일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 국경절 연휴 기간인 9월 30일~10월 7일 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Trojan.Win32.QQPass.ajt’이라고 밝혔다. 루이싱은 자사 ‘클라우드 보안 시스템’을 통해 연인원 2만3,579명으로부터 이 트로이목마에 대한 신고를 받았다고 덧붙였다.

이 ‘Trojan.Win32.QQPass.ajt’는 단축키를 이용해 현재 운행 중인 ‘QQ’(중국 최대 온라인 메신저)를 닫고, 로그인 창을 위조해 사용자에게 QQ 계정과 비밀번호를 다시 입력하라고 요구한다. 사용자가 이에 속아 넘어가면 QQ 계정 정보는 해커가 지정한 서버에 보내지게 된다. 이로써 사용자는 QQ 도난과 중요한 정보 유출 같은 위험에 놓인다. 앞서 지난 28일 중국에서 활개를 친 대표적인 PC 바이러스는 ‘Worm.Win32.VobfusEx.e’였다. 연 2만3,106명이 신고한 이 웜(worm) 바이러스는 파일 폴더 아이콘으로 위장해 사용자를 꾀어 클릭하게 만든다.

또 시스템 디렉터리 아래 여러 파일들을 만들고 ‘%System32%’ 아래 자신을 복제한 다음 ‘system3_.exe’로 다시 이름을 붙인다. 이 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작하며, 각 디스크 루트 디렉터리 아래 자신을 복제한다. 특히, 사용자의 중요한 정보들을 수집해 해커가 지정한 웹주소로 보낸다. 컴퓨터가 이 바이러스에 감염되면, 정보 유출과 인터넷 뱅킹 계정·비밀번호 도난, 해커의 컴퓨터 통제 등의 위험이 발생한다.

이어 29일에는 ‘Trojan.Win32.Generic.16B45D4B’가 중국에서 널리 퍼졌다. 연 2만2,881명이 신고한 이 바이러스는 인트라넷의 운행 상황을 검사하고 사용자의 개인정보들을 모아 해커가 지정한 웹주소로 보낸다. 또 다른 악성 프로그램들을 PC에 내려 받는다. 이 때문에 사용자의 정보는 유출되고 인터넷 뱅킹 계정과 비밀번호 도난 등이 발생한다.

中 국경절 연휴 기간 피싱 사이트 발생 동향
루이싱은 지난 9월 30일~10월 7일 국경절 연휴 기간 자사 ‘클라우드 보안’ 시스템을 써서 트로이목마가 숨은 웹주소 1만8,379개를 찾아냈다고 밝혔다. 웹주소에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 연인원 8만920명에 달했다. 또 국경절 연휴 기간 중국 누리꾼 연 5만6,415명이 피싱 사이트의 공격을 받았고 루이싱 쪽이 탐지한 피싱 웹주소는 1만1,123개였다.

국경절 연휴 기간 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, △페이팔(PAYPAL)을 가장한 http://summary-billing.com/gi-bin/ (사용자를 속여 계정과 비밀번호 정보 훔침) △가짜 의약류 www.lbfztbuy.com/ (허위 의약 정보로 사용자를 속여 금전 유도) △중국 인기 TV 노래 오디션 프로그램 ‘보이스 오브 차이나’를 사칭한 http://hsyhsk.cc/ (프로그램 방송사 주관 당첨 정보로 사용자를 속여 송금 유도) △중국판 인기 TV 예능 프로그램 ‘런닝맨’을 가장한 http://z.zx-km.com/ (프로그램 방송사 주관 당첨 정보로 사용자를 속여 송금 유도) △중국공상은행을 사칭한 http://121.126.31.70/ (사용자를 속여 카드 번호와 비밀번호 정보 빼냄) 순으로 나타났다.

이에 앞서 28일에는 △지메일(Gmail)로 위장한 www.admin-aproval.com/App-loggss/ServiceLogin.htm (사용자를 속여 전자우편 계정과 비밀번호 훔침) △허위 의약류 www.lzhbj.com/index.html △온라인 게임을 가장한 http://dnf987.com/show.asp?id=19 (허위 S/W 정보로 사용자를 속여 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 www.zj-ccb.com/index.asp (사용자 카드 번호와 비밀번호 정보 편취) △페이팔(Paypal)을 사칭한 www.paypalcz.cz/jak-system-funguje 등 차례로 중국내 피싱 사이트 ‘톱5’에 지목됐다.

이어 29일 중국 내 피싱 사이트 ‘톱5’는 △지메일로 위장한 http://hgmedical.ro/sneensn/sneensn/sneensn/ △허위 온라인 구매(쇼핑)류 http://test.xu1514.com/ (허위 구매 정보로 사용자를 속여 금전 훔침) △온라인 게임으로 위장한 www.cfyeyu.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀번호 정보 빼냄) △중국건설은행을 사칭한 http://wap.bfydb.com/index.asp △페이스북(Facebook)을 가장한 http://pearlinfotechs.com/ (사용자를 속여 계정과 비밀번호 정보 훔침) 등으로 나타났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>