시스템 느려지게 하고 네트워크 자원 점용하는 새 웜 바이러스 활개
정보보안업체, 피싱 사이트 약 1만1,670여개 탐지...누리꾼 5만명 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 1월 셋째 주(1월 18일~24일) PC 내 파일 폴더로 위장하고 은폐한 채 컴퓨터 시스템 운행을 느려지게 하고 네트워크 자원을 대량 점용하는 ‘Autorun’이란 이름의 새 웜(worm) 바이러스가 출현해 누리꾼들을 공격했다. 2주 연속으로 웜 바이러스들이 활개를 쳤다. 지난 주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만1,670여 개에 달했고, 중국 누리꾼 5만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.

中 1월 18일~24일 주간 주요 PC 바이러스
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 한 주 중국에서 누리꾼을 공격하면서 활개를 친 대표적인 PC 바이러스로 ‘Worm.Win32.Autorun.tpk’를 꼽았다. 이 웜바이러스는 활동 개시 뒤 디렉터리 ‘C:\WINDOWS\avb.exe及C:\WINDOWS\system32\javasc’에 자신을 복제한다. 또 파일 폴더로 위장하고, 자신을 숨긴다. 이로 인해 컴퓨터 시스템 운행이 느려지고 작동이 멈출 수 있으며 네트워크 자원이 대량 점용되는 위험이 일어날 수 있다. 루이싱은 이 웜 바이러스 ‘Worm.Win32.Autorun.tpk’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.


날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 먼저 18일에는 ‘Worm.Win32.ECode.fw’가 꼽혔다. 루이싱정보기술이 보안시스템을 통해 연인원 2만8,423명의 누리꾼으로부터 신고를 받았다. 이 웜 바이러스는 활동 개시 뒤 PC에 설치된 유명 안티바이러스 프로그램을 찾아내어 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 웹주소의 트래픽을 늘리면서 네트워크 자원을 대량 점용한다. 이로 인해 네트워크가 막히는 현상이 발생할 수 있다고 이 회사는 밝혔다.

이어 19일에는 ‘Worm.Win32.Gamarue.z’가 중국을 휩쓴 데 이어, 20일에는 ‘Trojan.Win32.VBCode.fio’(연 2만8,536명 신고), 21일에 ‘Worm.Win32.ECode.fw’(연 2만8,423명), 주말이 들었던 22일~24일에는 ‘Worm.Win32.Autorun.tpk’(연2만6,334명)이 각각 중국에서 널리 퍼져 누리꾼들을 공격했다. 이들 바이러스도 ‘Worm.Win32.ECode.fw’과 같은 악성 활동을 하고 피해를 야기하는 것으로 드러났다.

이 가운데 주말 동안 중국을 휩쓴 웜 바이러스 ‘Worm.Win32.Autorun.tpk’는 높은 위험성 때문에 정보보안업계로부터 주간 대표적인 바이러스로 지목됐다. 또한, ‘Trojan.Win32.VBCode.fio’는 한 주 전 14일에도 중국에서 널리 퍼져 누리꾼을 공격한 바 있다.

中 1월 셋째 주 피싱사이트 발생 상황
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만1,672개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 약 1,060개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전보다 1만명 줄어든 5만 명에 달했다. 2주째 연속 매주 1만명씩 감소했다. 일자별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 18일에는 연인원 6,969명, 19일 연 9,512명, 20일 8,181명, 21일 8,001명, 22일~24일 사흘 동안에는 연 2만830명에 달했다.

이와 함께 루이싱이 찾아낸 피싱 웹주소는 18일 1,625개, 19일 2,749개, 20일 2,641개, 21일 2,223개, 22일~24일 4,318개였다. 이런 가운데 지난 주 중국에서는 야후(Yahoo) 메일을 가장한 http://www.gafa.com.au/com/, 온라인 구매(쇼핑)으로 위장한 http://m.instage.cn/, 세계 유명 온라인 금전 결제 사이트인 페이팔(Paypal)을 사칭한 http://zbestfreebies.com/paypal/ 따위의 피싱 사이트들이 누리꾼의 전자우편 및 인터넷 뱅킹의 계정∙비밀번호와 개인 정보들을 노렸다.

날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 먼저 18일에는 △지메일(Gmail) 전자우편으로 위장한 http://homemadeplatter.com/info/googledoc/ (사용자를 속이고 메일 계정과 비밀번호 훔침) △온라인 구매(쇼핑)이라고 속인 http://m.cassygo.cn/ (허위 구매(쇼핑) 정보로 사용자의 금전 편취) △페이팔(Paypal)을 가장한 www.mallareddy.org/newpp/ (사용자의 메일 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 www.ccbrjo.com/index.asp (사용자 카드 번호와 비밀번호 훔침) △중국 최대 전자상거래 기업인 알리바바(Alibaba)를 가장한 http://briefpedia.com/FB/ (사용자의 메일 계정과 비밀번호 빼냄) 순으로 꼽혔다.

이어 19일에는 △Gmail 전자우편을 가장한 http://thecolombianpost.com:8081/cache/dropbox/ △중국 최대 이동통신서비스회사인 중국이동통신(China Mobile) http://10086kze.com/ (적립 포인트의 현금 교환을 미끼로 사용자의 카드 번호와 비밀번호 빼냄) △페이스북(Facebook)을 가장한 http://sumeyemozlen.blogcu.com/ (사용자의 메일 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.ccdahks.com/index.asp △Paypal로 속인 http://mallareddy.org/newpp/ 등 차례로 피싱 사이트 톱5에 포함됐다.

지난 20일 중국 누리꾼을 공격한 대표적인 피싱 사이트 톱5는 △Yahoo 메일로 위장한 www.gafa.com.au/com/ (사용자의 메일 계정과 비밀번호 훔침) △가짜 온라인 구매류 http://m.instage.cn/ △애플(Apple)로 가장한 www.icloud-found-apple.com/default.asp?rnd=KE4RD7KZAyeA (사용자를 속이고 메일 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://aasdw.gotoip55.com/ccb.asp △알리바바(Alibaba)로 위장한 http://tratortecpa.com.br/highslide/alibaba/langa.htm 순이었다.

21일에는 △Gmail 전자우편으로 가장한 http://kigalicars.com/xe/db/db/box/index.php △중국 유명 인터넷 포털 텅쉰(Tencent)로 위장한 http://www.cniate.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀번호 빼냄) △가짜 Apple류 http://enlacegsm.com/IDMSWebAuth/ △중국건설은행을 사칭한 www.ccbbnz.com/index.asp △Alibaba로 가장한 http://odrillncm.com/on/ony.php 순으로 톱5에 지목됐다.

주말인 22일~24일 중국 내 대표적인 피싱 사이트 톱5는 △가짜 Gmail 전자우편류 www.clistelogic.com/submit/ △텐센트 사이트를 가장한 www.yzzq83.com/ △중국이동통신으로 위장한 www.10086sxt.com/ △중국건설은행을 사칭한 www.ccbbph.com/index.asp △Paypal 사이트를 가장한 www.gaya-maroc.ma/~verysign/ 등 차례였다.

한편, 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 지난 18일에 2,806개, 19일 3,053개, 20일 3,053개, 21일 2,731개, 22일~24일 사흘 동안에는 5,532개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 18일에 연인원 6,054명, 19일 2,513명, 20일 6,560명, 21일 6,492명, 22일~24일에는 연 1만5,872명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>