PC 내 exe 파일 감염·홈페이지 변조·비밀번호 절취류 새 바이러스 활개
中 누리꾼 4만 명 피싱 사이트 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 2월 둘째 주와 셋째 주 각각 4만 명의 누리꾼이 피싱 사이트의 공격을 받은 것으로 드러났다. 또한 이 기간 PC안의 모든 ‘exe’ 파일을 감염시키고 악성 프로그램을 투입하는 한편, 백그라운드에서 PC를 해커 쪽에 연결시켜 다른 바이러스들을 내려 받고 인터넷 홈페이지를 변조하면서 네트워크 계정∙비밀번호를 훔치는 새 트로이목마가 활개를 쳤다.


中 2월 셋째 주 주요 PC 바이러스·피싱 사이트
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 주(15일~21일) 자사 ‘클라우드 보안 시스템’을 써서 PC 사용자들로부터 접수한 신고 건수 등에 근거해 셋째 주 중국 내 대표적인 바이러스로 ‘Trojan.Win32.Generic.52356255’를 꼽았다. 이 트로이목마는 활동 개시 뒤 ‘0x65’를 ‘ID’로 하는 리소스를 추가하고, 뮤텍스(mutex)를 새로 만들어 시스템 안에서 하나의 실례만 실행되게 한다고 루이싱은 설명했다.

또한 ‘0x66’을 ID로 하는 리소스(실행 가능 파일)을 추가해 임시 디렉터리(Temp)에 투입하고 ‘hrlx.tmp’라는 이름을 붙인다. 이 트로이목마는 디스트를 조사해 디스크 상에서 ‘exe’로 끝나는 모든 파일을 감염시킨다. 감염 방식은 ‘exe’ 디렉터리 아래 위장한 악성 소프트웨어 ‘lpk.dll’를 투입하는 수법을 쓰며, 그 속성을 시스템, 숨김, 읽기로 설정한다. 이 때문에 해당 트로이목마에 감염된 컴퓨터 사용자는 계정과 비밀번호 도난 위험에 놓이게 된다. 루이싱은 ‘Trojan.Win32.Generic.52356255’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.

루이싱은 15일~21일 한 주 동안 보안 시스템을 써서 중국에서 9,848개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 약 1,000개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 같은 4만 명에 달했다.

2월 셋째 주 중국에서 널리 퍼져 누리꾼들을 공격한 대표적인 피싱 사이트에는 △지메일(Gmail) 전자우편을 가장한 http://www.clistelogic.com/submit/ △중국 포털∙메신저·게임·보안업체인 텅쉰(Tencent)로 위장한 http://www.yzzq83.com/ △중국 최대 통신서비스업체인 중국이동통신(China Mobile)의 대표 번호 ‘10086’을 가장한 http://www.10086sxt.com 등이 꼽혔다. 이들 피싱 사이트는 누릮누의 인터넷 뱅킹 계좌·비밀번호와 중요 개인정보들을 편취하려 했다.


中 2월 둘째 주 PC바이러스·피싱 사이트
루이싱은 중국 최대 명절 ‘춘절’ 연휴 기간이었던 8일~14일 한 주 동안 보안 시스템을 통해 PC 사용자들로부터 받은 신고를 바탕으로 ‘Trojan.DL.Win32.Jongiti.a’를 이 기간 중국 내 대표적인 바이러스로 지목했다. 이 트로이목마는 컴퓨터 시스템에 설치된 파일에 접근하고, 글자와 부호를 연결하며, 지정된 웹페이지를 방문해 악성 소프트웨어를 임시 디렉터리(Temp) 아래 내려 받고 ‘C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\z.ico’를 실행한다고 루이싱은 설명했다. 또한 레지스트리를 수정하며 인터넷 홈페이지를 제어한다.

이로 인해 컴퓨터 사용자는 네트워크 계정과 비밀번호를 도난 당할 수 있다. 루이싱은 ‘Trojan.DL.Win32.Jongiti.a’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다. 또한 루이싱은 8일~14일 보안 시스템을 써서 중국에서 8,787개의 피싱 사이트들을 찾아냈다고 밝혔다. 2월 첫째 주 탐지 수량(8,839개)와 비슷했다. 2월 둘째 주 피싱 사이트들의 공격에 노출된 중국 누리꾼은 한 주 전과 비슷한 4만 명이었다.

이 기간 중국에서 누리꾼들을 괴롭힌 대표적인 피싱 사이트들은 △Gmail 전자우편으로 위장한 http://www.perspektifilaclama.com/dropbox/ △미국계 유명 온라인 금융 결제 서비스인 페이팔(Paypal)을 사칭한 http://www.sochid.ma/~verysign/ △중국건설은행을 가장한 http://wap.ccdyhna.com/index.asp 등이 지목됐다. 이 피싱 사이트들은 누리꾼의 중요한 개인 정보를 비롯해 인터넷 뱅킹 관련 계정과 비밀번호를 노렸다.

2월 6일~21일 주요 PC바이러스와 피싱 사이트 톱5
루이싱은 춘절 연휴가 시작된 6일부터 정월대보름인 ‘위앤샤오제’(22일) 전날까지 중국을 휩쓴 대표적인 바이러스로 ‘Worm.Win32.Autorun.tpk’를 꼽았다. 루이싱의 보안 시스템이 연인원 48만1,127명으로부터 신고를 받았다.

이 웜(worm) 바이러스는 PC 내 유명 안티바이러스 프로그램을 찾아 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 또한 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 악성 웹주소의 트래픽을 늘리면서 네트워크 자원을 대량 점용한다. 이 때문에 네트워크가 막히는 현상이 발생할 수 있다고 루이싱은 설명했다.

한편, 루이싱은 지난 6일부터 21일까지 중국 내에서 연인원 7만9,901명의 누리꾼이 피싱 사이트의 공격을 받았다고 밝혔다. 루이싱이 탐지한 피싱 웹주소는 1만5,916개였다. 이 기간 웹페이지에 숨은 트로이목마의 공격을 받은 중국 내 누리꾼은 연인원 6만55명에 달했다.

지난 6일~21일 중국에서 널리 번지고 누리꾼을 공격한 피싱 사이트 톱5는 △중국 최대 전자상거래그룹 알리바바(Alibaba)의 전자우편을 가장한 http://www.farmfresh.ae/includes/ali/ (사용자를 속이고 전자우편 계정과 비밀번호 훔침) △온라인 금융 결제 사이트 Paypal 전자우편으로 위장한 http://www.royalkingpackers.in/Update/login.php (사용자의 계정과 비밀번호 빼냄) △온라인 구매(쇼핑)을 가장한 http://hkire.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://www.ccbbnz.com/index.asp (사용자 카드 번호와 비밀번호 편취) △Gmail 전자우편을 가장한 http://securisuresolutions.com/kilo/googledocss/sss/ (사용자의 전자우편 계정과 비밀번호 훔침) 순으로 지목됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>