中 온라인 메신저 QQ 계정·비밀번호 훔치는 새 백도어 바이러스 활개
中 보안업체, 피싱 사이트 1만2,700여개 탐지...누리꾼 6만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 12월 첫째 주 중국 내 최대 온라인 메신저인 ‘QQ’ 계정과 비밀번호를 훔쳐서 해커 쪽에 보내고 온라인 피싱 사기를 벌이는 ‘QQ 큰도둑’이란 이름의 새 바이러스가 누리꾼들을 공격했다. 또한, 지난 주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만2,700여 개에 달했으며, 중국 누리꾼 6만 명이 이들 피싱 사이트의 공격을 받은 것으로 나타났다.

中 12월 첫째 주 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 한 주(11월 30일~12월 6일) 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스로 ‘Trojan.PSW.QQPass!47FC’ 를 꼽았다. 이 바이러스는 중국 내 최대 온라인 메신저인 ‘QQ’와 관련해 ‘무료 온라인 Q화폐 받기’라는 이름으로 사용자들을 유인해 컴퓨터에 내려 받아 실행하게 한다. 실행 뒤엔 ‘QQ 온라인 Q화폐 받기’ 창이 뜬다. 사용자가 QQ 계정과 비밀번호를 입력하고 클릭 버튼을 누르게 되면, 바이러스는 백그라운드에서 QQ 계정과 비밀번호를 http://www.cyzjy.com/** http://www.cyzjy.com/**** 쪽으로 보내는 것으로 드러났다.


날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 먼저 11월 30일에는 ‘Trojan.Script.BAT.Agent.em’가 지목됐다. 루이싱정보기술이 보안 시스템을 통해 연인원 2만5,473명이 누리꾼으로부터 신고를 받은 이 바이러스는 윈도우(Windows) 운영체제(OS)의 보안성을 떨어뜨려서 해커가 IPC를 통해 감염 PC의 OS로 진입하게 하는 것으로 드러났다.

또한, 방화벽을 비롯한 서비스를 중지시키며, 디스크 공유를 열어 다른 바이러스 내용을 바탕으로 관리자 계정을 추가한다. 이로써 PC의 보안성을 떨어뜨리고 해커가 관리자 권한을 얻어 한층 더 악의적인 조작을 할 수 있게 만든다. 12월 들어 첫날 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.PSW.Win32.GameOL.qzw’였다. 연 2만8,287명이 신고했다. 이 바이러스는 활동 개시 뒤 시스템 실행 프로그램에 주입된다. 또 게임 프로그램을 찾아내어 사용자의 게임 비밀번호를 훔쳐서 해커가 지정한 웹주소로 보내는 것으로 밝혀졌다.

이어 2일에는 ‘Dropper.Win32.Drslty.a’가 중국에서 널리 퍼졌다. 이 감염형 바이러스는 활동 개시 뒤 자아 복제를 하며, 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작하도록 설정한다. 동시에 홈페이지를 수정하고 즐겨찾기에 이 웹주소를 추가한다. 또한 하드디스크를 검사해 뒤에 exe, dll, htm 등이 붙는 파일을 모두 감염시키면서 더 많은 악성행위를 벌인다. 연 2만5,843명의 누리꾼이 신고했다.

12월 3일 중국을 휩쓴 대표적인 바이러스 중 하나는 ‘Backdoor.Win32.Toy.c’. 이 백도어(backdoor) 바이러스는 PC를 자동으로 해커가 지정한 서버에 연결시키고 자신을 최신 버전으로 업데이트시킨다. 동시에 PC 안의 정보를 해커 쪽으로 보내고, 컴퓨터 조작을 감시한다. 컴퓨터가 이 바이러스에 감염되면, 사용자의 개인정보 유출과 인터넷 뱅킹 계정·비밀번호 도난 위험에 놓이게 된다. 연 2만9,526명이 신고했다.

주말이 들었던 지난 4일~6일에는 ‘Backdoor.Win32.Berbew.I’가 중국에서 크게 번졌다. 사흘 동안 연 8만3,738명이 누리꾼이 신고했다. 이 백도어 바이러스는 시스템 디렉터리 아래 자신을 복제하고, 악성‘dll’ 파일을 만든다. 또 레지스트리를 수정하며, 사용자의 여러 웹사이트 계정·비밀번호를 훔쳐서 해커가 지정한 웹주소로 보낸다. 동시에 시스템 권한을 얻어 해커 쪽에 백도어를 열어 준다. 이로 인해 PC 사용자는 여러 웹사이트의 계정과 비밀번호를 도난당하고 중요한 개인정보들이 유출되는 위험을 맞게 된다.

中 12월 첫째 주 피싱 사이트 발생 상황
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만2,713개의 피싱 사이트들을 찾아냈다고 밝혔다. 한 주 전보다 1,700여개 늘었다. 또한 지난 주 피싱 사이트의 공격을 받은 중국 누리꾼은 한 주 전과 비슷한 규모인 6만 명에 달했다.

일자 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난달 마지막 날인 30일에는 연인원 9,025명, 12월 1일에 1만378명, 2일 1만540명, 3일 9,0108명, 주말이 든 4일~6일 사흘 동안 연 2만7,300명에 달했다. 루이싱이 찾아낸 피싱 웹주소는 지난달 30일 1,833개, 12월 1일 1,587개, 2일 1,923개, 3일 1,938개, 4일~6일 4,274개였다.

이런 가운데 지난 주 중국에서는 페이스북(Facebook) 전자우편을 가장한 http://mi7egypt.com/index.htm/, 중국 인터넷업체 텐센트(Tencent)로 위장한 http://dnf192.com/, 중국이동통신(China Mobile)을 사칭한 http://l0086hdv.com.cutestat.com 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정∙비밀번호와 개인정보들을 노렸다.

날짜 별로 중국에서 활개를 친 피싱 사이트 ‘톱5’를 보면, 먼저 11월 30일에는 △Facebook 메일을 가장한 http://bluduo.ninja/ (사용자를 속이고 메일 계정과 비밀번호 빼냄) △텐센트로 위장한 http://dnf160.com/ (허위 S/W 정보로 사용자를 속여서 계정고 비밀번호 정보 훔침) △중국이동통신을 사칭한 www.ccbsao.com/Default.asp (포인트의 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.ccblab.com/index.asp (사용자 카드 번호와 비밀번호 편취) △지메일(Gmail) 전자우편을 가장한 http://niumei.net/imaqes/dboxFobes/ (사용자를 속이고 계정과 비밀번호 훔침) 순이었다.

12월 1일에는 페이스북 메일을 가장한 http://gd-studio.osobie.net/2/ △온라인 구매(쇼핑)으로 위장한 www.sjdm.net/ (거짓 구매 정보로 사용자를 속이고 금전 훔침) △세계적 유명 온라인 금전 결제 사이트인 페이팔(Paypal)로 위장한 http://segagaga.net/bbs/newpp/index.htm (사용자의 메일 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 www.ccbqqk.com/index.asp (사용자 카드 번호와 비밀번호 정보 훔침) △Gmail 메일을 가장한 http://worldwideorganization.org/all1/transf.html 등 차례로 피싱 사이트 톱5 안에 들었다.

이어 2일 중국을 휩쓴 대표적인 피싱 사이트들은 △페이스북으로 위장한 http://faceb000k.com/login.html △가짜 온라인 구매류 http://iphone6sj.com/ △중국이동통신을 사칭한 http://10086myy.com/ △중국건설은행을 사칭한 http://mvbdr.com/index.asp △Paypal 메일로 위장한 http://paypal-casinos.eu/paypal-und-casinos/ 등이었다.

지난 3일에는 페이스북으로 위장한 △ http://fiyasko341.blogcu.com/ △가짜 온라인 구매류 www.ycxwheel.com/ △중국이동통신을 사칭한 http://loo86ccd.net/Default.asp △중국건설은행을 사칭한 www.ccbppp.com/index.asp △야후(Yahoo) 메일로 위장한 http://planeteinstein.com/kunle/ (사용자를 속이고 메일 계정과 비밀번호 정보 빼냄) 순으로 피싱 사이트 톱5에 들었다.

주말인 4일~6일 사흘 동안 중국 누리꾼들을 공격한 대표적인 피싱 사이트들은 △페이스북을 가장한 http://djakmansonnefes.blogcu.com/ △온라인 구매로 위장한 http://shwzjs.cn/ △중국이동통신을 가장한 www.gersdf.com/Default.asp △중국건설은행을 사칭한 www.ccboff.com/index.html △Gmail 전자우편으로 위장한 http://gradinitarosemary.ro/wp-content/PDF/dropbox/index.php 등으로 나타났다.

한편, 루이싱의 보안 시스템이 찾아낸 트로이목마 투입 웹주소는 지난달 30일 2,269개, 12월 1일 2,670개, 2일 3,191개, 3일 2,538개, 4일~6일 사흘 동안 6,375개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 지난달 30일 연인원 6,748명, 12월 1일 7,658명, 2일 7,729명, 3일 7,755명, 4일~6일에 연 2만4,755명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>