컴퓨터 느려지게 하고 네트워크 자원 점용하는 웜 바이러스 2주째 활개
피싱 사이트 약 1만1,670여개 탐지...누리꾼 5만명 피해 입어

[보안뉴스 온기홍=중국 베이징] 새해 들어 중국에서 PC 내 파일 폴더로 위장하고 숨은 채 컴퓨터 시스템 운행을 느려지게 하고 네트워크 자원을 대량 점용하는 웜(worm) 바이러스들이 2주 연속 누리꾼들을 공격하고 있는 것으로 나타났다. 웜 바이러스들은 새해 첫 달 2주째 PC 사용자들을 공격한 주요 바이러스 유형에 꼽혔다.

中 1월 25일~31일 주간 주요 PC 바이러스
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 주(1월 25일~31일) 자체 ‘클라우드 보안 시스템’을 통해 접수한 PC 사용자의 신고 건수를 바탕으로 주요 바이러스들을 꼽아 공개했다. 지난 주를 통틀어 중국에서 가장 많이 퍼진 대표적인 PC 바이러스에 ‘Worm.Win32.Autorun.tpk’가 지목됐다.


이 웜 바이러스는 디렉토리 ‘C:\WINDOWS\avb.exe及C:\WINDOWS\system32\javasc’에 자신을 복제하고 파일 폴더로 위장하며 자신을 은폐한다. 감염 PC는 시스템 운행이 느려지고 심할 경우 작동이 멈출 수 있으며, 네트워크 자원이 대량 점용되는 위험에 처할 수 있다. 이 회사는 ‘Worm.Win32.Autorun.tpk’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.

지난 주 날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들은 모두 웜 바이러스인 것으로 드러났다. 지난 25일에는 ‘Worm.Win32.Gamarue.w’(연인원 2만5,340명 신고) △26일에 Worm.Mail.NetSky.lz(연 2만8,874명 신고) △27일 Worm.Win32.Gamarue.w(연 2만3,221명 신고) △28일 Worm.Win32.Gamarue.w(연 2만8,777명) △주말이 든 29일~31일 사흘 동안에는 Worm.Win32.Autorun.tpk(연 8만1,213명)이 각각 중국을 휩쓴 대표적인 PC 바이러스였다.

이 가운데 ‘Worm.Win32.Gamarue.w’는 각각 25, 27일, 28일 등 세 차례에 걸쳐 당일 중국에서 PC 사용자를 공격한 대표적인 바이러스에 꼽혔다. 이어 ‘Worm.Win32.Autorun.tpk’는 정보보안업계로부터 2주 연속 및 지난 주말 사흘 동안 중국을 휩쓴 대표적인 바이러스로 지목됐다.

지난 주 중국 PC 사용자들을 공격한 3종의 대표적인 웜 바이러스들은 활동 개시 뒤 PC에 설치된 유명 안티바이러스 프로그램을 찾아내어 실행을 중지시킨다. 또한, 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 이어 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 웹주소의 트래픽을 늘리면서 네트워크 자원을 대량 점용한다. 이로 인해 네트워크가 막히는 현상이 발생할 수 있다고 루이싱은 밝혔다.

中 1월 마지막 주 피싱 사이트 발생 상황
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만1,670여 개의 피싱 사이트들을 탐지했다고 밝혔다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 5만 명에 달했다. 일자 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 25일에는 연인원 6,117명, 26일 연 5,115명, 27일 7,149명, 28일 8,105명, 29일~31일 사흘 동안에는 연 1만5,680명에 달했다.

이와 함께 루이싱이 찾아낸 피싱 웹주소는 25일 1,714개, 26일 1,741개, 27일 1,725개, 28일 2,166개, 29일~31일 4,310개였다. 지난 주 중국에서는 야후(Yahoo) 메일을 가장한 www.gafa.com.au/com/, 온라인 구매(쇼핑)으로 위장한 http://m.instage.cn/, 세계 유명 온라인 금전 결제 사이트인 페이팔(Paypal)을 사칭한 http://zbestfreebies.com/paypal/ 따위의 피싱 사이트들이 누리꾼의 전자우편 및 인터넷 뱅킹의 계정·비밀번호와 개인정보들을 훔친 것으로 밝혀졌다.

날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 지난 25일에는 △지메일(Gmail) 전자우편을 가장한 http://xdvfrwse.tabladoandaluz.com.br/dropbox/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) △중국 유명 인터넷 사이트 텅쉰(Tencent)로 위장한 http://bvf.shebi.com.cn/qWgMy?jdfwkey=gadm03 (사용자의 전자우편 계정과 비밀번호 빼냄) △온라인 구매(쇼핑)을 가장한 http://bjzgra.com/ (허위 구매 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 www.to95533.us/indexS.asp (사용자의 카드 번호와 비밀번호 훔침) △페이팔(Paypal)을 가장한 http://paypalextreme.us2.pw/ (사용자의 전자우편 계정과 비밀번호 빼냄) 순으로 지목됐다.

이어 26일에는 △야후(Yahoo) 전자우편으로 위장한 http://thairescue.com/byte/default.php (사용자의 전자우편 계정과 비밀번호 빼냄) △텅쉰의 온라인 게임으로 가장한 http://cfpk8.com/ (허위 S/W 정보로 사용자의 계정과 비밀번호 훔침) △중국 유명 스마트폰업체인 샤오미 홈페이지로 위장한 www.xysanreqi.com/ (허위 구매 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 http://wwdsawcxz.cc/jianshe/app/b2cmainb1l5.asp △중국 유명 전자상거래 그룹 알리바바(Alibaba)로 속인 www.farmfresh.ae/includes/ali/ (사용자의 계정과 비밀번호 빼냄) 등 차례로 피싱 사이트 톱5 안에 들었다.

지난 27일 중국 누리꾼을 가장 많이 괴롭힌 피싱 사이트는 △Gmail을 가장한 www.perspektifilaclama.com/dropbox/ △가짜 Paypal류 www.sochid.ma/~verysign/ △샤오미 홈페이지로 위장한 www.food-shanzhen.com/ △중국건설은행을 사칭한 http://wap.ccdyhna.com/index.asp △Facebook를 가장한 http://facebook.webservis.ru/ 순이었다.

28일에는 △Alibaba 전자우편으로 위장한 www.picobong.com/eshop/alibaba/ △가짜 Paypal류 www.royalkingpackers.in/Update/login.php △샤오미 홈페이지로 위장한 www.xysanreqi.com/ △중국건설은행을 사칭한 http://m.ccnzxc.pw/ △Gmail 전자우편을 가장한 www.cursos-galilea.com/wp-includes/repack/ 등이 중국 누리꾼들을 많이 공격했다.

주말이 들었던 29일~31일 피싱 사이트 톱5는 △Alibaba 전자우편을 가장한 http://golden-corner.com/alibaba.com/Alibaba.html △가짜 온라인 구매류 http://13buy8.com/ △텅쉰의 온라인 게임을 가장한 http://kkscf.com/index.htm △중국건설은행을 사칭한 www.wn95533.us/indexS.asp △Gmail 전자우편으로 위장한 http://zphibdc.org/wp-content/templates/db/db/box/ 등 차례였다.

루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 지난 25일에 1,759개, 26일 2,298개, 27일 2,259개, 28일 2,263개, 29일~31일 사흘 동안에는 5,185개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 25일에 연인원 4,735명, 26일 5,408명, 27일 5,290명, 28일 5,888명, 29일~31일에는 연 1만3,727명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>