PC 제어해 게임사이트 방문시키고 비밀번호 훔치는 새 트로이목마형 바이러스 활개
中 보안업체, 피싱 사이트 약 1만1천여개 탐지...누리꾼 6만명 피해

[보안뉴스 온기홍=중국 베이징] 중국에서는 연말연시를 맞은 지난 한 주(12월 28일~1월 3일) PC 브라우저를 제어해 유명 게임 사이트들을 방문하고 해커 쪽으로부터 몰래 다른 악성 프로그램들을 PC에 내려 받아 사용자의 계정과 비밀번호를 빼내는 새 트로이목마형 바이러스가 주목을 받았다. 지난 주 중국에서 정보보안업체가 탐지한 피싱 사이트는 약 1만1,000여 개에 달했으며, 중국 누리꾼 6만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 12월 28일~1월 3일 주간 주요 PC 바이러스
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 한 주 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스로 ‘Trojan.Win32.Generic.18FB061D’를 지목했다. 이 바이러스는 활동 개시 뒤 원 파일을 삭제하며, 바이러스 파일을 투입하고 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\iexplore.exe 을 실행한다. 또한, 브라우저를 통제해 10여 개의 유명 온라인 게임 웹사이트들을 방문한다. 이어 백그라운드에서 PC를 해커 쪽 웹주소에 연결시키고 몰래 다른 악성 프로그램들을 내려 받는다. 이로 인해 PC 사용자는 여러 계정과 비밀번호를 도난 당할 위험에 놓이게 된다. 이 회사는 ‘Trojan.Win32.Generic.18FB061D’에 대한 경계 등급으로 별 다섯 개 가운데 네 개를 매겼다.


날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 먼저 지난 12월 28일에는 ‘Worm.Script.VBS.Agent.gi’가 지목됐다. 루이싱이 자체 보안 시스템을 통해 연인원 2만7,519명으로부터 신고를 받았다. 이 웜(worm) 바이러스는 PC내 깔린 유명 백신 S/W을 찾아내어 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시한다. 또한, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 악성 웹주소의 트래픽을 늘리며, 네트워크 자원을 대량 점용한다. 이 때문에 네트워크가 막히는 현상이 일어난다고 루이싱은 설명했다.

이어 29일 중국에서 크게 번진 대표적인 바이러스는 ‘Win32.Drop.DDos.es┖. 연 2만9,474명이 신고한 이 감염형 바이러스는 바이러스 dll을 TEMP 디렉터리에 투입한 뒤, 시스템 디렉터리에 복사하고, 바이러스 dll를 로딩한다. 바이러스 서비스를 만들어 컴퓨터 시작과 함께 자동으로 활성화시킨다. 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시킨 다음 해커의 명령에 대기한다. PC 내 정보를 몰래 훔치고 다른 바이러스를 PC에 내려 받는다. 컴퓨터가 이 바이러스에 감염되면, 해커가 저지르는 디도스(DDos) 공격의 도구로 악용될 수 있다.

지난 달 30일에는 ‘Trojan.Win32.Injector.fy’가 중국에서 널리 퍼졌다. 이 바이러스가 실행된 뒤, 해커는 컴퓨터를 악성 웹주소에 연결시키고 바이러스를 내려 받아 악성 웹사이트의 트래픽을 늘리게 한다. 또한, 원격 제어를 실행하고, 사용자의 컴퓨터 조작을 몰래 지켜보며, 중요한 정보들을 훔치는 것으로 드러났다. 해당 바이러스는 연 2만6,537명이 신고했다.

지난해 마지막 날부터 새해 원단 연휴가 든 12월 31일~1월 3일 나흘 동안 중국을 휩쓴 대표적인 바이러스는 ‘Trojan.Win32.Injector.fz’. 연 15만8,528명이 신고했다. 이 바이러스가 실행된 뒤, 해커는 컴퓨터를 악성 웹주소에 연결시키고 바이러스를 내려 받아 악성 웹사이트의 트래픽을 증가시킨다. 이어 원격 통제를 개시하며 사용자의 컴퓨터 조작을 감시하고 사용자의 중요한 정보들을 빼낸다.

中 연말연시 주간 피싱 사이트 발생 상황
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만1,068개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 100개 증가했다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 비슷한 규모인 6만 명에 달했다.

일자 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 달 28일에는 연인원 8,455명, 29일 연 1만1,265명, 30일 8,731명, 12월 31일~1월 3일 나흘 동안에는 연 3만2,907명에 달했다. 이와 함께 루이싱이 찾아낸 피싱 웹주소는 지난 달 28일 1,957개, 29일 3,193개, 30일 2,033개, 12월 31일~1월 3일 6,931개였다.

이런 가운데 지난 주 중국에서는 페이스북(Facebook)으로 위장한 http://www.facebook.tophackfree.com/, 중국 텅쉰(Tencent)로 가장한 http://dnf987.com/, 중국이동통신으로 속인 http://www.tio.3gp.fr/ 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정∙비밀번호와 개인정보들을 노렸다.

날짜 별로 중국에서 활개를 친 피싱 사이트 ‘톱5’를 보면, 먼저 28일에는 △Facebook을 가장한 www.jianho.com.sg/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) △온라인 구매(쇼핑)으로 속인 www.sjzhjbl.cn/ (허위 구매 정보로 사용자를 속이고 금전 빼냄) △중국이동통신(China Mobile)로 가장한 www.mn10086.cn/ (적립금의 현금 정보로 사용자를 속이고 카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.jfyutr.com/index.asp (사용자를 속이고 카드 번호와 비밀번호 빼냄) △야후(Yahoo) 전자우편으로 위장한 http://pintorsfigueres.com/ (사용자의 전자우편 계정과 비밀번호 편취) 순으로 꼽혔다.

이어 29일 중국 피싱 사이트 톱5는 △Yahoo 전자우편으로 가장한 http://gafa.com.au/sbc/ △허위 온라인 구매류 www.food-shanzhen.com/show.asp?id=23 △중국이동통신을 가장한 http://l0086uyc.com/ △중국건설은행을 사칭한 http://wap.zkkojf.com/index.asp △Facebook을 가장한 http://mi7egypt.com/index.htm/ 등 차례였다.

지난 30일에는 △지메일(Gmail) 전자우편을 가장한 http://visualfactory.com.pl/images/dropbox/ (전자우편 계정과 비밀번호 편취) △허위 온라인 구매류 http://yak123.com/ △중국이동통신으로 위장한 www.ap-10086.com/ △중국건설은행을 사칭한 http://103.200.28.141/index.asp △Facebook으로 위장한 http://gd-studio.osobie.net/2/ 순으로 누리꾼들을 많이 공격했다.

원단 연휴가 포함된 12월 31일~1월 3일 나흘 동안 피싱 사이트 톱5는 △Yahoo 전자우편으로 위장한 http://xinema.org/dzmafia/dropbox/second.html △허위 온라인 구매류 http://mjt99.com/ △중국이동통신으로 가장한 www.l0086re.com/ △중국건설은행을 사칭한 http://209.74.104.170/index.asp △Facebook으로 위장한 http://orhanbartug.blogcu.com/ 순이었다.

한편, 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 지난 달 218 2,736개, 29일 2,635개, 30일 2,632개, 12월 31일~1월 일 나흘 동안에는 5,908개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 지난 달 28일 연인원 7,164명, 29일 7,044명, 30일 6,233명, 12월 31일~1월 3일에는 연 2만1,371명이었다.
[중국 베이징 / 온기홍 특파원onkihong@yahoo.com]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>