PC 시스템 느려지게 하고 해커 원격통제 가능한 애드웨어 기승
中 보안업체, 피싱 사이트 약 1만 2천여개 탐지

[보안뉴스 온기홍= 중국 베이징] 중국에서 새해 첫 번째 주(1월 4일~10일) 동안 PC 백그라운드에서 해커 웹주소에 연결해 해커의 명령을 받고 시스템 운행을 느려지게 하며 해커의 원격 통제를 받게 하는 새 애드웨어가 누리꾼들을 괴롭혔다. 지난 주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만 2,000여 개에 달했고, 중국 누리꾼 7만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 1월 4일~10일 주간 주요 PC 바이러스
중국 정보보안 회사인 루이싱정보기술은 지난 한 주 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스로 ‘AdWare.Win32.MultiPlug.ae’를 꼽았다. 이 악성 광고는 활동 개시 뒤, 다른 디렉토리에 자신을 복제하고 디렉토리 안에 ‘%USERPROFILE%\’ 시작 ‘menu\program\boot\\sample.lnk’ 바로가기를 만든다. 이어 컴퓨터 부팅과 함께 자동으로 시작하게 만든다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시켜 해커의 명령을 만든다. 이 때문에 시스템 운행 속도가 느려지고, 컴퓨터가 해커의 원격 통제 아래 놓이게 될 수 있다. 루이싱은 ‘AdWare.Win32.MultiPlug.ae’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.


날짜 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 먼저 중국에서 새해 연휴가 끝나고 공식 업무가 시작된 4일에는 ‘Trojan.Win32.BHO.gdz’가 꼽혔다. 루이싱정보기술의 보안 시스템이 누리꾼 연인원 2만7,643명으로부터 신고를 받았다. 이 바이러스는 컴퓨터 안에 설치된 많은 유명 안티바이러스 S/W를 닫고, 브라우저 BHO를 수정한다. 또 PC를 해커가 지정한 웹사이트에 연결시켜 트로이목마를 내려 받아 실행시키는 것으로 드러났다.

이어 5일 중국을 휩쓴 대표적인 PC 바이러스는 ‘Trojan.FakeWord.t’ 였다. 연 2만6,733명이 신고한 이 바이러스는 워드(Word) 파일로 위장해 PC 사용자를 속이는데, 실행 뒤 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 동시에 ‘Schedule’란 이름의 서비스를 열고, 참수 대비의 방식을 통해 바이러스 실행 방식을 판단한다. 스카이프(Skype)계정·비밀번호 S/W도 투입한다. 이 바이러스는 일단 유관 정보를 입수하게 되면, 사용자의 Skype 계정과 비밀번호를 해커가 지정한 웹주소로 보낸다. 감염된 PC는 계정과 비밀번호 도난 및 중요한 정보 절취의 위험에 놓이게 된다.

지난 6일에는 ‘Backdoor.Farfli!489E’가 중국에서 널리 퍼졌다. 이 바이러스는 운행 개시 뒤 스스로 삭제하고, VBS 스크립트를 투입해 실행시키며, 레지스트리를 수정한다. 또한 자판 조작을 기록하고, 사용자의 중요한 파일과 계정·비밀번호 등 민감한 정보도 훔친다. 연 2만5,752명이 신고했다.

7일 중국에서 크게 번진 대표적인 바이러스는 ‘Worm.Win32.Viking.zt’가 지목됐다. 이 웜(worm) 바이러스는 파일형(win32) 바이러스와 웜(worm) 바이러스, 바이러스 드로퍼(dropper) 등 여러 바이러스의 특징을 동시에 갖추고 있다. 이 바이러스는 PC에 들어간 뒤 온라인 상에서 여러 트로이목마를 감염된 PC 안에 내려 받으며, 사용자의 온라인 게임 비밀번호를 훔친다. 심할 경우 시스템이 완전히 붕괴될 수 있다. 연 2만6,787명이 신고했다.

주말이 든 8일~10일 사흘 동안에는 ‘Trojan.Spy.Win32.Zbot.gan’가 중국을 휩쓸었다. 연 8만5,166명이 신고한 이 바이러스는 활동 개시 뒤 PC 안에 설치된 유명 안티바이러스 S/W를 찾아 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 시작할 수 있게 한다. 또한 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 악성 웹주소의 트래픽을 늘리며, 네트워크 자원을 대량 점용한다. 나아가 네트워크가 막히는 현상이 나타날 수 있다.

中 새해 첫 주간 피싱 사이트 발생 상황
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만2,044개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 약 1,000개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전보다 1만명 증가한 7만 명에 달했다. 일자 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 4일에는 연인원 1만80명, 5일 연 1만988명, 6일 9,000명, 7일 8,150명, 8일~10일 사흘 동안에는 연 2만3,734명에 달했다. 이와 함께 루이싱이 찾아낸 피싱 웹주소는 4일 2,208개, 5일 2,644개, 6일 1,945개, 7일 2,020개, 8일~10일 5,561개였다.

이런 가운데 지난 주 중국에서는 △지메일(Gmail) 전자우편으로 위장한 http://visualfactory.com.pl/images/dropbox/ △허위 온라인 구매류 http://yak123.com/； △중국이동통신을 가장한 http://www.ap-10086.com/ 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정∙비밀번호와 개인 정보들을 노렸다.

날짜 별로 중국에서 활개를 친 피싱 사이트 ‘톱5’를 보면, 먼저 지난 4일에는 △지메일(Gmail) 전자우편을 가장한 http://eastlakesupport.com/images/nagel/fixpay/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) △온라인 구매(쇼핑)으로 속인 http://zhfji.com/ (허위 구매 정보로 사용자의 금전 편취) △중국이동통신을 가장한 http://l0086zxv.com/ (적립금의 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.ccdakmy.com/index.asp (사용자의 카드 번호와 비밀번호 편취) △페이스북(Facebook)으로 위장한 http://demo.itivy.com/45-facebook-login/index.html (사용자의 전자우편 계정과 비밀번호 훔침) 순으로 꼽혔다.

이어 5일 피싱 사이트 톱5는 △가짜 Facebook류 http://humalone.com/SigninAln/ △허위 온라인 구매류 http://wip7.com/ △중국이동통신을 가장한 www.jf10086-vip.com/ △중국건설은행을 사칭한 http://wap.ccdakny.com/index.asp △Gmail 전자우편으로 위장한 www.mustafayilmazakbas.com/Dropbox/dropbox/ 차례로 나타났다.

지난 6일에는 △Facebook으로 가장한 http://coverme21.atspace.co.uk/ △허위 온라인 구매류 http://ipn6.com/ △중국이동통신으로 가장한 www.jf10086-vip.com/ △중국건설은행을 사칭한 http://103.200.28.148/index.asp △Gmail 전자우편으로 위장한 http://anindyavoice.com/includes/dpbx/ 순이었다.

7일 중국내 피싱 사이트 톱5는 △가짜 Facebook류 http://8529987.com/ △허위 온라인 구매류 http://fip6.com/ △중국이동통신으로 가장한 http://jf10086g.com/ △중국건설은행을 사칭한 http://58.64.156.18/index.asp △Gmail 전자우편으로 위장한 http://marlinwash.com/dropbox/cgi-bin/dropbox/view.php 차례로 꼽혔다.

주말 8일~10일 사흘 동안에는 △Facebook을 가장한 www.burakcikcik.com/ △허위 온라인 구매류 http://hkytc.com/ △중국이동통신을 가장한 http://10086jssc.com/ △중국건설은행을 사칭한 http://113.10.157.212/index.asp △Gmail 전자우편으로 위장한 http://viviansanchez.com/access/ipad/ 순으로 지목됐다.

한편, 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 지난 4일에 2,374개, 5일 2,131개, 6일 2,358개, 7일, 2,340개, 8일~10일 사흘 동안에는 5,928개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 4일에 연인원 5,644명, 5일 5,830명, 6일 5,861명, 7일 5,717명, 8일~10일에는 연 1만6,913명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>