“시스템 디렉터리에 악성 S/W 투입, 계정·비밀번호 탈취” 새 트로이목마 활개
피싱 사이트 7,600여 개 탐지돼...中 누리꾼 4만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 주(3월 7일~13일) 컴퓨터 시스템 디렉터리 아래 악성 프로그램을 몰래 투입해 PC 사용자의 인터넷 계정과 비밀번호를 훔쳐가는 ‘Fednu‘란 이름의 새 트로이목마가 나타나 누리꾼들을 공격했다. 이 기간 중국 정보보안 업체가 탐지한 자국 내 피싱 사이트는 7,600여 개였고, 피싱 사이트의 공격을 받은 누리꾼 수는 4만 명에 달한 것으로 밝혀졌다.

中 3월 둘째 주 주요 PC 바이러스 동향
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 7일~13일 ‘클라우드 보안 시스템’을 통해 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 꼽아 공개했다. 이 회사는 지난 주 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스로 ‘Trojan.Win32.Fednu.rr’를 지목했다.

이 바이러스는 컴퓨터 부팅과 함께 자동으로 활동을 개시하도록 설정을 하며, 자신의 코드를 시스템 키워드 키 프로세스 ‘svchost.exe’에 주입하고 자신을 삭제한다. 이어 시스템 키 위치에 악성 소프트웨어 C:\WINDOWS\system32\hra33.dll、C:\RCXB.tmp를 투입하고, 디스크의 모든 Exe 파일 폴더 목록을 감염시킨다고 루이싱은 밝혔다. 또한 해당 루트 디렉터리 아래 lpk.dll 악성 소프트웨어를 투입한다.

이 때문에 컴퓨터 사용자의 네트워크 계정과 비밀번호가 도난 당할 수 있다. 루이싱은 ‘Trojan.Win32.Fednu.rr’에 대한 경제 등급으로 별 다섯 개 중 네 개를 매겼다.


날짜 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 3월 7일에는 ‘Trojan.Win32.Fednu.diu’가 지목됐다. 루이싱정보기술이 보안시스템을 통해 연인원 2만4,777명으로부터 신고를 받은 이 바이러스는 PC 안에 설치된 바이러스 백신 프로그램을 찾아 내어 실행을 중지시킨다. 동시에 레지스트리를 수정해, 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 악성 웹주소의 트래픽을 늘리며 대량의 네트워크 자원을 점용한다. 이로 이해 네트워크가 막히는 현상이 일어난다고 루이싱은 설명했다.

지난 8일 중국에서 널리 퍼진 ‘Trojan.Win32.Fednu.diu’(연 2만7,499명 신고), 9일 크게 번진 웜 바이러스 ‘Worm.Win32.Gamarue.v’(연 2만6,578명 신고), 10일 대표적인 웜 바이러스 ‘Worm.Win32.Gamarue.w’(2만1,145명), 주말인 든 11일~13일 누리꾼들을 공격한 대표적인 바이러스 ‘Worm.Mail.NetSky.lz’(연 2만8,771명 신고) 등은 앞선 ‘Trojan.Win32.Fednu.diu’와 비슷한 활동을 하면서 누리꾼들에게 피해를 입게 했다. 이 가운데 ‘Worm.Win32.Gamarue.w’는 2주 연속 중국에서 널리 퍼져 PC 사용자들을 공격했다. 지난 주 일별 중국 내 대표적인 바이러스들의 유형을 보면, 트로이목마류와 웜 바이러스류가 각각 절반을 차지했다.

中 3월 둘째 주 피싱 사이트 발생 동향
루이싱은 지난 주 보안 시스템을 써서 중국에서 7,628개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 2,015개 줄었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전 주 대비 1만명 줄었다. 일자 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 3월 7일에는 연인원 7,946명, 8일 6,562명, 9일 6,576명, 10일에는 6,720명, 주말이 든 11일~13일 사흘 동안에는 연인원 1만4,471명에 달했다. 루이싱이 탐지한 피싱 웹주소는 7일 1,646개, 8일 1,183개, 9일 1,457개, 10일 1,734개, 11일~13일 사흘 간에는 4,196개였다.

이와 함께 △페이스북(Fackbook) 전자우편을 가장한 http://freefacebook.craxad.com/ △허위 온라인 구매(쇼핑)류 http://web.bizart.cn/tmall3_daigou/ip6.php △중국이동통신(차이나 모바일)로 위장한 http://www.l0086re.com 등의 피싱 사이트들이 중국 누리꾼의 전자우편 및 인터넷 뱅킹의 계정∙비밀번호와 개인 정보들을 훔친 것으로 밝혀졌다.


날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 3월 7일에는 △Fackbook 메일로 가장한 http://appsdev.info/fb/ (사용자를 속이고 계정과 비밀번호 훔침) △중국이동통신을 가장한 http://l0086nuq.com/index1.html (적립 포인트의 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 빼냄) △가짜 온라인 구매류 http://www.gxjcn.net/ (허위 구매 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 http://www.ccbdco.com/index.asp (카드 번호와 비밀번호 빼냄) △지메일(Gmail) 전자우편을 가장한 http://proga.pl/dms/BDB/dpbx/index.php (메일 계정과 비밀번호 훔침) 순이었다.

이어 8일 중국을 휩쓴 피싱 사이트 톱5는 △온라인 금융 결제 사이트 페이팔(Paypal) 전자우편을 가장한 http://budamarbella.com/plaza/trabajo/websrc.htm (메일 계정과 비밀번호 빼냄) △Fackbook 전자우편으로 위장한 http://hi2doctor.com/?i=54999 (메일 계정과 비밀번호 편취) △텅쉰(Tencent)의 온라인 게임으로 위장한 http://dnfnba.com/ (허위 S/W 정보로 계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://do-10086.com/index.asp (사용자 카드 번호와 비밀번호 훔침) △야후(Yahoo) 전자우편으로 위장한 http://gauyanaokdc.ru/components/com_mailto/dpbx/ (메일 계정과 비밀번호 훔침) 등 차례였다.

지난 9일에는 △가짜 온라인 구매류 http://xgdg888.com/ △텅쉰의 온라인 게임을 가장한 http://www.js39002.com/ △중국건설은행을 사칭한 http://he-10086.com/index.asp △Paypal 전자우편을 가장한 http://apk-resolvedservice.com/webapps/bb7db77971/home △Yahoo 메일로 속인 http://nonbosaigon.com/Yahoo.html 등 차례로 톱5 안에 들었다.

10일 중국 누리꾼들을 속인 대표적인 피싱 사이트들은 △애플(Apple) 전자우편을 가장한 http://www.icloud-appleidios.com/ (사용자의 메일 계정과 비밀번호 빼냄) △텅쉰의 온라인 게임으로 위장한 http://18dnf.com/ △중국건설은행을 사칭한 http://150.129.81.233/index.asp △중국이동통신을 가장한 http://l0086ix.com/ △Gmail 전자우편을 가장한 http://investorrelations.hk/document/gdocs/index.htm 등이었다.

주말이 들었던 11일~13일 사흘 동안에는 △Facebook 전자우편을 가장한 http://www.1it.info/ △가짜 온라인 구매류 http://boomlaa.cn/ △중국건설은행을 사칭한 http://118.184.4.166/index.asp △Apple 전자우편을 가장한 http://adidasoriginal.ro/includes/js/feels/app/applestore/N5CB1b/ △Gmail 전자우편으로 위장한 http://www.clu.com.tr/wp-includes/cnn/이 누리꾼을 괴롭힌 대표적인 피싱 사이트들로 지목됐다.

한편 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 3월 7일에 1,734개, 8일 1,617개, 9일 1,979개, 10일 1,536개, 11일~13일 6,442개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 7일에 연인원 4,195명, 8일 연 4,414명, 9일 4,364명, 3일 4,081명, 4일~6일 사흘 동안 1만7,959명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>