메신저·동영상·백신 SW 바로가기 삭제...웹사이트 비밀번호 탈취
中 보안업체, 피싱 사이트 1만4,700개 탐지...누리꾼 8만명 피해

[보안뉴스 온기홍=중국 베이징] 지난 한주(11월 2일~8일) 동안 중국에서 최대 온라인 메신저와 동영상 플레이어, 보안 백신 프로그램의 바로가기를 삭제하고 PC 사용자의 여러 웹사이트 계정·비밀번호를 훔치는 ‘Generic’란 이름의 새 트로이목마형 바이러스가 출현해 누리꾼들을 공격했다. 지난 한주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만4,700개 정도였으며 중국 누리꾼 8만명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 11월 2일~8일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 한주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Trojan.Win32.Generic.18E5CC35’ 였다고 2일 밝혔다. 이 바이러스는 중국 최대 온라인 메신저 ‘QQ’, 동영상 플레이어 ‘아치이(Iqiyi)’, SW 다운로드 플랫폼 ‘2345 왕파이’, 바이두의 백신 프로그램 등의 바로가기를 삭제한다.


또 ‘QQ’ 브라우저를 찾아내고 실행 프로그램을 만들며, 대형 온라인 쇼핑 사이트 타오바오(Taobao) 웹페이지를 열어 특정 웹페이지의 트래픽을 늘린다. 이 때문에 감염 PC 사용자는 상용 SW의 바로가기를 잃게 되고 여러 웹사이트의 계정과 비밀번호를 도난 당할 위험에 놓인다.

이 바이러스는 주말이 든 6일~8일 사흘 동안 중국을 휩쓴 대표적인 바이러스로 꼽혔다. 연 6만5,973명이 신고했다. 루이싱은 ‘Trojan.Win32.Generic.18E5CC35’ 에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.

날짜별로 지난 주 중국에서 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 보면, 2일에는 연인원 2만4,103명이 신고한 ‘Trojan.Win32.FakeSoft.a’가 꼽혔다. 이 바이러스는 중국내 유명 자동 금액 충전 시스템으로 위장해 사용자를 속여 내려 받아 설치하게 한다. 정상적인 SW의 디지털 서명을 사용해 바이러스 퇴치 프로그램의 검사를 피한다. 또한, 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작한다. 이어 PC를 해커가 지정한 서버에 연결시켜 시스템 정보를 보내고, 해커의 추가 명령에 대기한다.

3일 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.Win32.VbUndef.a’. 연 2만5,839명이 신고한 이 바이러스는 시스템 경로 C:\windows\system32\jarinet를 만들고, 메신저 프로그램 ‘QQ’로 위장하며, 시스템 hosts 파일 내용을 수정해 사용자가 정보보안 업체의 웹사이트에 방문할 수 없게 만든다. 레지스트리도 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작한다. 또 백그라운드에서 해커가 지정한 웹주소를 방문해 다른 많은 바이러스를 하드 디스크에 내려 받는다. 이로 인해 사용자의 여러 웹사이트 계정과 비밀번호가 도난 당할 수 있다.

4일에는 ‘Trojan.Script.VBS.Dole.b’가 지목됐다. 이 바이러스는 사용자가 엑셀(Excel)을 열 때 바로 바이러스 파일을 실행시킨 다음, 시작 파일 폴더에 자신을 복제해 이 파일이 수시로 업데이트 되도록 한다. 또 사용자의 파일을 수정하고, 악성코드를 오피스(Office) 파일에 주입해 오피스 성능과 정상적인 기능에 심각한 영향을 끼친다. 나아가 파일이 정상적으로 열리지 않게 만들기도 한다. 이 바이러스는 또 오피스의 실행 속도에 영향을 끼치며, 아웃룩(Outlook) 프로그램을 주소록에 따라 검색하고, 정시에 바이러스가 첨부된 전자우편을 발송한다. 이로써 바이러스 전파 범위가 더 확대되고 기업 사용자들의 정상적인 업무에 심각한 영향을 끼친다. 연 2만2,706명이 신고했다.

5일 중국에서 기승을 부린 대표적인 바이러스는 ‘Trojan.Win32.VbUndef.a’로 연 2만5,506명이 신고했다. 이 바이러스는 hosts 파일을 수정하고 여러 보안 프로그램 업체의 웹주소를 통제해 사용자가 이들 웹사이트를 열지 못하도록 막는다. 또 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작하며, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시켜 더 많은 악성 바이러스를 내려 받는다. 이로 인해 중요한 정보들이 유출되고, 여러 인터넷 사이트의 계정·비밀번호들이 도난당할 수 있다.

中 11월 2일~8일 피싱 사이트 발생 동향
루이싱은 지난 한주 동안 보안 시스템을 써서 중국 내에서 1만4,701개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전과 비슷했다. 같은 기간 피싱 사이트의 공격을 받은 중국 누리꾼은 8만 명에 달했다. 한 주 전보다 1만명 줄었다. 날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 2일에는 연인원 1만3,316명, 3일 1만4,285명, 4일 1만315, 5일 9,181명, 주말이 든 6일~8일 사이에는 연 2만7,666명에 달했다. 루이싱이 찾아낸 피싱 웹주소는 2일 2,656개, 3일 3,164개, 4일 2,309개, 5일 2,168개, 6일~8일 5,839개였다.

지난 주 중국에서는 온라인 구매(쇼핑)을 가장한 www.yugdec.net/tmall2/5s.php?sid=5, 중국건설은행을 사칭한 http://wap.cbctt.com/index.asp, 페이팔(Palpay)로 위장한 www.shiningstar.com.sa/wp-includes/js/jquery/payca/ 등이 누리꾼의 인터넷 뱅킹 계정·비밀번호와 개인정보들을 훔쳤다.

날짜별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 2일에는 △아웃룩(Outlook)으로 가장한 http://outio-web-app.jxdgjg.com/ (사용자를 속이고 계정과 비밀번호 빼냄) △가짜 의약류 www.keeplady.com/ (허위 의약 정보로 사용자를 속이고 송금 유도) △온라인 구매를 가장한 www.yjtattoo.com/ (허위 구매 정보로 사용자의 금전을 빼냄) △중국건설은행을 사칭한 http://wap.cbctt.com/index.asp (사용자의 카드 번호와 비밀번호 훔침) △야후(Yahoo)로 가장한 www.imtidad.com/tmp/domainverify/acessLogs/ (사용자의 계정과 비밀번호 훔침) 순으로 지목됐다.

지난 3일 중국내 피싱 사이트 톱5는 △페이팔을 가장한 www.hotelsofia.ma/~verysign/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) △텅쉰으로 위장한 www.bjyyxm.com/mzb/r2/?1e/7q0mtt1231c8r0v_0r.html(사용자의 계정과 비밀번호 편취) △온라인 구매를 가장한 http://daigou2.kuaigow.com/daigou_diduan/5s.php △중국건설은행을 사칭한 www.ccbpijh.com/index.asp(사용자의 계정과 비밀번호 편취) △지메일(Gmail) 전자우편을 사칭한 http://5script.com/googltupas/index.htm(사용자의 계정과 비밀번호 훔침) 등 차례였다.

이어 4일에는 △페이팔(Palpay)을 가장한 www.phebus-voyages.co.ma/~verysign/ △텅쉰으로 위장한 www.dnf227.com/ △가자 온라인 구매류 http://zlytb.cn/ △중국건설은행을 사칭한 http://122.114.53.191/index.asp △야후 전자우편을 가장한 www.wyatb.com/quickunblockymail/ 등이 피싱 사이트 톱5에 꼽혔다.

지난 5일 중국을 휩쓴 피싱 사이트 톱5는 △애플 아이클라우드(iCloud)로 위장한 http://usa-icloud.com/(사용자를 속이고 계정과 비밀번호 빼냄) △텅쉰을 가장한 www.5sq.cc/(허위 S/W 정보로 사용자의 계정과 비밀번호 편취) △가짜 온라인 구매류 http://lanhew.gtaoji.com(허위 구매 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 www.ccbejf.com/index.asp(사용자의 카드 번호와 비밀번호 훔침) △구글(Google) 전자우편으로 위장한 http://tubeglobe.com/wp-includes/GDocument/(사용자의 전자우편 계정과 비밀번호 훔침) 등 차례였다.

주말이 들었던 6일~8일에는 △페이스북(Facebook)을 가장한 http://team-avrora.org/ (사용자의 계정과 비밀번호 편취) △텅쉰으로 위장한 www.tlcfsq.com/ △가짜 온라인 구매류 http://v1.jgsz.com/daigou_diduan/5s.php △중국건설은행을 사칭한 http://122.114.53.191/index.asp △페이팔을 가장한 www.widecom.co.ma/~verysign/ 등 차례로 피싱 사이트 톱5에 들었다. 한편 루이싱의 보안 시스템이 찾아낸 트로이목마 삽입 웹주소는 지난 2일 3,028개, 3일 2,500개, 4일 3,220개, 5일 2,951개, 주말이 낀 6일~8일 사흘 동안 6,954개였다.

웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 2일 연인원 1만6,800명, 3일 8,096명, 4일 9,930명, 5일 1만311명, 6일~8일 연 2만6,458명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>