PC 연락처로 바이러스 삽입해 이메일 발송하는 새 웜 바이러스 활개
정보보안업체, 피싱 사이트 약 1만600여개 탐지...누리꾼 6만명 피해 입어

[보안뉴스 온기홍=중국 베이징] 중국에서 1월 둘째 주(1월 11일~17일)에는 PC 안에서 대량으로 자신을 복제해 시스템 자원을 점용하고 연락처 리스트에 접근해 다른 사람들에게 바이러스가 삽입된 이메일을 발송하는 ‘NetSky’란 이름의 새 웜(worm) 바이러스가 활개를 친 것으로 나타났다. 지난 주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만600여 개에 달했고, 중국 누리꾼 6만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 1월 11일~17일 주간 주요 PC 바이러스
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 한 주 중국에서 누리꾼을 공격하면서 활개를 친 대표적인 PC 바이러스로 ‘Worm.Mail.NetSky.lz ’를 꼽았다. 이 웜(worm) 바이러스는 C++ 언어로 컴파일링된 웜 바이러스다. 이메일을 통해 퍼지는데 활동 개시 뒤 ‘windows’ 디렉터리 아래 ‘winlogon.exe’란 이름으로 자신을 복제한다. 레지스트를 수정해 컴퓨터 부팅과 함께 자동 실행한다. 컴퓨터 안에서 대량으로 자신을 복제해 시스템 자원을 점용한다. 사용자의 연락처 리스트에 접근해 리스트 안의 다른 사람들에게 바이러스가 삽입된 전자우편을 발송한다.


컴퓨터가 이 바이러스에 감염된 뒤, 네트워크 자원이 대량 점용되고, 시스템 운행이 느려지며, 심할 경우 컴퓨터가 다운되는 위험이 발생한다. 루이싱은 ‘Worm.Mail.NetSky.lz’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.

날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 먼저 11일 중국을 휩쓴 대표적인 PC 바이러스는 ‘Trojan.Win32.BHO.gdz’였다. 루이싱정보기술의 보안 시스템이 연인원 2만6,618명으로부터 신고를 받았다. 이 바이러스는 컴퓨터 안에 유명한 안티바이러스 프로그램이 있는지를 찾아내고, 그 프로그램의 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 바이러스 활동이 개시되게 만든다.

또한, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 악성 웹주소의 트래픽을 늘리며, 네트워크 자원을 대량으로 점용한다. 이로 인해 네트워크가 막히는 현상이 발생할 수 있다고 루이싱은 설명했다. 지난 12일에는 ‘Backdoor.Win32.Mydoom.d’가 중국에서 널리 퍼졌다.

이 백도어 바이러스는 PC 내 유명 안티바이러스 SW 실행 프로그램을 찾아내어 중지시킨다. 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 바이러스 활동을 개시한다. 또한, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키며, 웹주소의 트래픽을 늘리고, 네트워크 자원을 대량 점용하는 것으로 드러났다. 연 2만2,883명이 신고했다. 13일 중국에 크게 번진 대표적인 바이러스는 ‘Worm.Script.VBS.Agent.co’. 연 2만7,841명이 신고한 이 바이러스도 전날 유행한 ‘Backdoor.Win32.Mydoom.d’과 비슷한 활동을 하며 피해를 입히는 것으로 나타났다.

지난 14일 중국을 휩쓴 ‘Trojan.Win32.VBCode.fio’ 역시 지난 11일 대표적인 바이러스로 지목된 ‘Trojan.Win32.BHO.gdz’과 같은 악성 활동을 하고 사용자에게 피해를 준다. 연인원 2만7,113명이 신고했다. 주말이 들었던 15일~17일 사흘 동안 중국 누리꾼들을 공격한 대표적인 바이러스는 ‘Worm.Mail.NetSky.lz’였다. 연 2만1,983명이 신고한 이 웜 바이러스도 주중 대표적인 바이러스들과 같은 활동을 하면서 PC 사용자에게 피해를 입히는 것으로 밝혀졌다.

中 1월 둘째주 피싱 사이트 발생상황
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만615개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 1,400여 개 줄었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전보다 1만명 감소한 6만 명에 달했다.

일자별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 11일에는 연인원 8,942명, 12일 연 8,852명, 13일 7,904명, 14일 8,349명, 15일~17일 사흘 동안에는 연 2만5,709명에 달했다. 이와 함께 루이싱이 찾아낸 피싱 웹주소는 11일 2,456개, 12일 1,887개, 13일 1,931개, 14일 2,188개, 15일~17일 5,751개였다.

이런 가운데 지난 주 중국에서는 페이스북(Facebook)을 가장한 www.burakcikcik.com/, 온라인 구매(쇼핑)으로 위장한 http://hkytc.com/, 중국이동통신(China Mobile)로 가장한 http://10086jssc.com/ 따위의 피싱 사이트들이 누리꾼의 인터넷 뱅킹 계정∙비밀번호와 개인 정보들을 노렸다.

날짜별로 중국에서 활개를 친 피싱 사이트 ‘톱5’를 보면, 먼저 지난 11일에는 △Facebook을 가장한 http://facebook.videolistem.com/ (사용자를 속이고 이메일 계정과 비밀번호 훔침) △온라인 구매라고 속인 http://13buy8.com/ (허위 구매 정보로 사용자의 금전 편취) △중국이동통신을 가장한 http://10086yide.com/ (적립금의 현금 교환으로 사용자를 속이고 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.ccdykaz.com/index.asp (사용자의 카드 번호와 비밀번호 편취) △지메일(Gmail)을 가장한 http://viviansanchez.com/access/ipad/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) 순으로 지목됐다.

이어 12일에는 △중국 최대 전자상거래 그룹 알리바바(Alibaba)로 가장한 http://academyirmbr.com/icons/alibabasure/alibabasure/ (사용자의 이메일 계정과 비밀번호 훔침) △가짜 온라인 구매류 http://m.cassygo.cn/?jdfwkey=03tv93 △중국이동통신으로 위장한 www.mn10086.cn/ △중국건설은행을 사칭한 www.ccbdzc.com/index.asp △아마존(Amazon)으로 위장한 www.amazoniacorp.net/contact.htm (사용자를 속이고 계정과 비밀번호 훔침) 등 차례로 피싱 사이트 톱5에 들었다.

13일 피싱 사이트 톱5는 △가짜 Facebook류 http://burakcikcik.com/ △텅쉰이 제공하는 온라인 게임으로 가장한 http://yfshxx.com/ (악성 프로그램으로 사용자를 속이고 계정과 비밀번호 훔침) △중국이동통신으로 위장한 http://jfsx-10086.com/ △중국건설은행을 사칭한 http://wap.ccdahka.com/index.asp △지메일을 가장한 www.n7300.no/ttope/ (사용자의 이메일 계정과 비밀번호 편취) 순이었다.

지난 14일에는 △핫메일(Hotmail) 이메일로 위장한 http://cclesquin.fr/cli/hotmail/ (이메일 계정과 비밀번호 훔침) △텅쉰의 게임을 가장한 www.cfxiangcao.com/ △페이팔(Paypal)로 속인 http://zbestfreebies.com/paypal/ (사용자의 이메일 계정과 비밀번호 편취) △중국건설은행을 사칭한 www.ccbbjfdhpt.com/index.asp △이베이(ebay)로 위장한 http://vmantis.ru/lang/.auctiva.com/.createtoken.aspx.html (사용자를 속이고 이메일 계정과 비밀번호 빼냄) 등 차례로 톱5안에 들었다.

주말이 든 15일~17일에는 △Gmail로 속인 http://homemadeplatter.com/info/googledoc/ △허위 온라인 구매류 http://m.cassygo.cn/ △Paypal을 가장한 www.mallareddy.org/newpp/ △중국건설은행을 사칭한 www.ccbrjo.com/index.asp △Alibaba를 가장한 http://briefpedia.com/FB/ 순으로 많이 누리꾼을 공격했다.

한편, 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 지난 11일에 2,459개, 12일 2,696개, 13일 2,993개, 14일, 2,337개, 15일~17일 사흘 동안에는 6,550개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 11일에 연인원 5,600명, 12일 6,237명, 13일 5,909명, 14일 5,685명, 15일~17일에는 연 1만7,110명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>