PC 브라우저상 정보·개인정보 훔치는 새 백도어 바이러스 활개
中 보안업체, 피싱 사이트 1만1000개 탐지...누리꾼 6만명 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 11월 마지막 주(11월 23일~29일) PC의 브라우저에 뜬 정보들을 훔치고 사용자의 개인정보를 수집해 몰래 백그라운드에서 해커 쪽에 보내는 새 백도어(Backdoor) 바이러스가 출현해 누리꾼들을 공격했다. 또한, 지난 한주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만1,000여 개였으며, 중국 누리꾼 6만 명이 피싱 사이트의 공격을 받았다.

中 11월 마지막주 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 한 주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Backdoor_Win32_Berbew.I’였다고 밝혔다. 이 백도어 바이러스는 시스템 ‘system32’ 디렉터리에 자신을 복제하고 이름을 8자리로 만든다. 인터넷 익스플로러와 상관된 레지스트리를 수정하고, 브라우저에서 나타난 정보를 훔치며, PC 사용자의 개인 정보를 수집한다. 이어 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 수집한 정보를 해커 쪽으로 보낸다. 루이싱은 ‘Backdoor_Win32_Berbew.I’ 바이러스에 대한 경계 등급으로 별 다섯 중 네 개를 매겼다.


일자 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 먼저 23일에는 ‘Worm.Win32.ECode.fw’가 꼽혔다. 루이싱이 보안 시스템을 통해 연인원 2만8,423명으로부터 신고를 받은 이 웜(worm) 바이러스는 실행 뒤 시스템 파일 폴더 아래 자신을 복제한다. 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시하도록 설정한다. 또 중국 최대 온라인 메신저인 ‘QQ’ 실행을 중지시킨다. 브라우저를 열 때 ‘비밀번호를 잊었거나 새로운 계정으로 로그인하라’는 웹페이지 화면을 이용해 사용자를 꾀어 관련 정보를 입력하게 만든다. 이를 통해 계정과 비밀번호를 빼낸다.

이어 24일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Trojan.Win32.QQPass.ajt┖ 였다. 연 2만8,427명이 신고한 이 바이러스는 단축키를 이용해 실행 중인 ‘QQ’ 프로그램을 취소시킨다. 동시에 로그인 창을 위조해 사용자에게 QQ 계정과 비밀번호를 다시 입력하라고 요구한다. 이 때문에 QQ 계정과 비밀번호 정보는 해커가 지정한 서버로 발송되고, 사용자는 중요한 정보 유출 위험에 놓이게 된다.

25일에는 ‘Backdoor.Win32.Mydoom.d’가 중국에서 활개를 쳤다. 연 2만6,378명이 신고한 이 백도어 바이러스는 컴퓨터 시작과 함께 자동으로 실행되도록 자신을 설정한다. 또 PC에 설치된 바이러스 퇴치 프로그램의 실행을 중지시킨다. 해커 쪽으로부터 원격 제어되며, 악성 프로그램을 내려 받아 실행시킨다. 이로 인해 네트워크 계정과 비밀번호, 중요한 정보들이 유출될 수 있다.

지난 26일 중국에서 크게 번진 대표적인 바이러스는 ‘Trojan.Spy.Win32.Gamker.a’. 이 바이러스는 PC에 설치된 백신 프로그램을 찾아 실행 중지시키고, 브라우저를 전용해 해커가 지정한 웹주소에서 다른 바이러스들을 내려 받는다. 동시에 인터넷뱅킹과 관련한 키워드를 모니터링하며, 자판 감시 제어 기능을 통해 사용자의 계정과 비밀번호를 비롯한 정보를 기록한다. 이어 평문 형식을 통해 이들 정보를 저장해 해커 족으로 보낸다. 연 2만7,651명이 신고했다.

주말이 들었던 27일~29일 사흘 동안 활개를 친 대표적인 바이러스는 ‘Backdoor_Win32_Berbew.I’ 였다. 연 8만2,658명이 신고했다. 이 백도어 바이러스는 지난 주 중국 보안업계와 누리꾼들이 가장 주목한 바이러스였다. 활동 개시 뒤, 시스템 ‘system32’ 디렉터리에 자신을 복제하고 이름을 8자리로 만든다. 인터넷 익스플로러와 관련한 레지스트리를 수정하고, 브라우저에서 나타난 정보를 비롯해 사용자의 개인정보를 수집한다. 이어 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 수집한 정보를 해커 쪽으로 보낸다.

中 11월 마지막 주 피싱 사이트 발생 상황
루이싱은 지난 한주 동안 보안 시스템을 써서 중국 내에서 1만1,000여 개의 피싱 사이트를 탐지했다고 밝혔다. 지난주 피싱 사이트의 공격을 받은 중국 누리꾼은 6만 명에 달했다. 한 주 전과 같은 규모였다. 날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 23일에는 연인원 9,587명, 24일 1만213명, 25일 1만1,740명, 26일 1만408명, 주말이 든 27일~29일 사이에는 연 2만6,793명에 달했다.

루이싱이 찾아낸 피싱 웹주소는 23일 2,446개, 24일 2,714개, 25일 3,396개, 26일 2,637개, 27일~29일 5,361개였다. 이런 가운데 지난 주 중국에서는 △페이스북(Facebook) 전자우편함으로 위장한 www.facebook.secrue.com/ △텐센트(Tencent)로 가장한 www.12345gua.com/ △중국이동통신(China Mobile)을 사칭한 www.l0086jfwh.com/Default.asp 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정∙비밀번호와 개인 정보들을 노렸다.

날짜 별로 중국에서 활개를 친 피싱 사이트 ‘톱5’를 보면, 23일에는 △미국계 유명 온라인 결제 사이트인 페이팔(Paypal)을 가장한 www.starbags-taschen.de/was_ist_paypal.php (사용자를 속이고 계정과 비밀번호 훔침) △텐센트로 위장한 www.dnf159.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀빈호 빼냄) △중국이동통신을 사칭한 http://qq121314-001-site1.site4future.com/ (적립 포인트의 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 www.ccbakg.com/index.asp (사용자의 카드 번호와 비밀번호 편취) △지메일(Gmai)로 위장한 http://insulation-advocates.com/wp-content/includes/db/box/ (사용자를 속이고 전자우편 계정과 비밀번호 빼냄) 순이었다.

이어 24일 피싱 사이트 톱5에는 △Facebook 전자우편함을 가장한 www.facebook.secrue.com/ (사용자 전자우편 계정과 비밀번호 훔침) △가짜 텐센트류 www.12345gua.com △중국이동통신으로 위장한 www.l0086jfwh.com/Default.asp △중국건설은행을 사칭한 www.ccbakf.com/index.asp △가짜 Paypal 류 www.paypal-bd.com/#!/ 등 차례로 꼽혔다.

지난 25일에는 △가짜 Facebook 전자우편류 http://mi7egypt.com/index.htm/ △허위 텐센트 http://dnf192.com/ △중국이동통신을 가장한 http://l0086hdv.com.cutestat.com/ △중국건설은행을 사칭한 www.ccbakf.com/index.asp △야후(Yahoo) 전자우편으로 위장한 http://pancinemas.com/yah/ (사용자의 전자우편 계정과 비밀번호 훔침) 순으로 톱5에 지목됐다.

26일 대표적인 피싱 사이트는 △Gmail 전자우편을 가장한 http://hotworldnews.ru/GoogleDrive/document/ (사용자의 전자우편 계정과 비밀번호 편취) △텐센트로 위장한 www.1234gua.com/ △가짜 중국이동통신 www.100861.me/ △중국건설은행을 사칭한 www.ccbaly.com/index.asp △애플(Apple) 관련 제품을 사칭한 http://life-me.com/products/gateway/apple/application/submit/xDo/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) 등이었다.

주말이 든 27일~29일 사흘 동안에는 △가짜 Facebook 전자우편류 http://briefpedia.com/FB/ △허위 텐센트류 www.cfhama.com/ △Paypal로 위장한 http://paypal.luluhoops.com/ △중국건설은행을 사칭한 http://wap.ccblab.com/index.asp △애플을 가장한 www.gezginler.net/indir/itunes.html 순으로 피상 사이트 톱5에 들었다.

한편, 루이싱의 보안 시스템이 찾아낸 트로이목마 투입 웹주소는 지난 23일 3,062개, 24일 2,508개, 25일 3,278개, 26일 2,644개, 27일~29일 사흘 동안 8,766개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 23일 연인원 9,510명, 24일 8,842명, 25일 8,255명, 26일 7,599명, 27일~29일에 연 2만3,333명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>