컴퓨터 디스크 exe 파일 감염...개인정보 빼내는 새 백도어 ‘Rbot’ 출현
정보보안업체, 피싱 사이트 7,500개 발견

[보안뉴스 온기홍= 중국 베이징] 중국에서 3월 넷째 주(3월 21일~27일) PC를 해커가 지정한 웹주소에 연결시켜 다른 악성 프로그램들 내려 받으며 컴퓨터 디스크 안의 모든 exe파일을 감염시키면서 중요한 정보들을 빼내고 컴퓨터 운행 속도를 느려지게 만드는 ‘Rbot’이라는 이름의 새 백도어(backdoor) 바이러스가 나타나 누리꾼들에게 피해를 줬다. 중국 정보보안 업체가 지난 주 찾아낸 중국 내 피싱 사이트는 약 7,600개에 달했고, 피싱 사이트의 공격을 받은 누리꾼 수는 4만 명에 달한 것으로 밝혀졌다.

中 3월 넷째 주 주요 PC 바이러스 동향
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 21일~27일 ‘클라우드 보안 시스템’을 써서 중국 내 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 뽑아 공개했다. 지난 주 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스에는 ‘Backdoor.Win32.Rbot.gcy‘가 꼽혔다.

이 백도어 바이러스는 디렉터리 아래 악성 파일을 투입하고 레지스트리를 수정해 시스템 서비스에 로그인 하는 것으로 드러났다. 이어 시스템 실행 프로그램 ‘svchost.exe’을 원격 주입하고, 몰래 ‘cmd’를 전용해 자신을 삭제한다. 또 시스템 키 디렉터리 아래 악성 소프트웨어 ‘C:\WINDOWS\system32\hra33.dll及C:\RCX5.tmp’를 투입하고, 디스크의 EXE 파일을 감염시킨다. 루트 디렉터리 아래 ‘lpk’를 위장한 악성 S/W도 투입한다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 다른 악성 프로그램을 PC에 내려 받는다.

이로 인해 PC 안의 민감한 정보들을 유출되고 컴퓨터 운행 속도가 느려질 수 있다. 이 회사는 ‘Backdoor.Win32.Rbot.gcy’에 대한 경제 등급으로 별 다섯 개 중 네 개를 매겼다.


날짜 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 3월 21일에는 ‘Worm.Win32.Gamarue.z’가 꼽혔다. 루이싱정보기술이 ‘클라우드 보안’ 시스템을 통해 연인원 2만3,112명으로부터 시고를 받았다. 이 웜(worm) 바이러스는 컴퓨터에 설치된 유명 바이러스퇴치 프로그램을 찾아내어 실행을 중지시킨다. 동시에 레지스트리를 수정해 부팅과 함께 자동으로 활동을 개시한다.

또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 악성 웹주소의 트래픽을 늘리며, 네트워크 자원을 대량 점용한다. 이 때문에 네트워크가 막히는 현상이 일어난다고 루이싱은 설명했다. 이어 22일 중국에서 크게 번진 ‘Trojan.PSW.Win32.QQPass.fll’(연 2만4,473명 신고)를 비롯해, 23일 중국을 휩쓴 ‘Trojan.PSW.Win32.QQPass.fll’(연 2만4,473명 신고), 24일 대표적인 바이러스 ‘Worm.Script.VBS.Agent.gi’(연 2만6,346명 신고), 주말이 든 25일~27일 사흘 간 널리 퍼진 ‘Worm.Mail.NetSky.lz’(연 2만7,331명 신고)도 ‘Worm.Win32.Gamarue.z’와 비슷한 악성 활동을 하면서 피해를 초래하는 것으로 밝혀졌다.

지난 주 중국 내 대표적인 바이러스 유형 별로 보면, 웜 바이러스가 3개, 트로이목마류가 2개였다. 특히 이 가운데 ‘Trojan.PSW.Win32.QQPass.fll’는 2주 연속 중국에서 널리 퍼져 PC 사용자들을 공격한 대표적인 바이러스에 꼽혔다.

中 3월 넷째 주 피싱 사이트 발생 동향
루이싱은 지난 주 보안 시스템을 써서 중국에서 7,568개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 1,814개 줄었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전 주보다 1만명 감소했다.

일자 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 3월 21일에는 연인원 6,110명, 22일 5,223명, 23일 5,308명, 24일에는 5,512명, 주말이 든 25일~27일 사흘 동안에는 연인원 1만9,087명에 달했다. 루이싱이 탐지한 피싱 웹주소는 21일 2,035개, 22일 1,664개, 23일 1,647개, 24일 1,512개, 25일~27일 사흘 동안에는 5,412개였다.

이런 가운데 △미국계 유명 온라인 금융 결제 사이트인 페이팔(Paypal) 전자우편을 가장한 http://hempelgalleries.com/css/lib △텅쉰(Tencent) 전자우편으로 위장한 http://www.yh123.com.cn/ △중국건설은행을 사칭한 http://wap.ccbhsdjx.com/indexS.asp 따위의 피싱 사이트들이 누리꾼들의 전자우편 및 인터넷 뱅킹의 계정·비밀번호와 개인정보들을 겨냥한 것으로 드러났다.


날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 3월 21일에는 △Paypal 메일함을 가장한 http://tv.mx-sites1.co.uk/10up/ (사용자를 속이고 메일 계정과 비밀번호 빼냄) △온라인 구매(쇼핑)으로 속인 http://www.linjiaxiyi.com/ (허위 구매 정보로 사용자를 속이고 금전 훔침) △중국건설은행을 사칭한 http://wep.ccbakds.com/ (사용자 카드 번호와 비밀번호 편취) △텅쉰의 온라인 게임으로 위장한 http://www.dnfaaa.com/ (허위 S/W 정보로 사용자의 계정과 비밀번호 빼냄) △지메일(Gmail) 전자우편으로 가장한 http://googledoc.recepitur.com.br/login/ (사용자의 메일 계정과 비밀번호 편취) 순이었다.

이어 22일에는 △페이스북(Facebook) 메일함으로 위장한 http://facebook.personforce.com/job-board.php (사용자의 메일 계정과 비밀번호 훔침) △중국이동통신(China Mobile)을 가장한 http://l0086dop.com/ (적립포인트의 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 http://www.95588jd.com/ △텅쉰의 온라인 게임으로 속인 http://www.dnffuzhu.cn/ △Gmail 전자우편을 가장한 http://visualfactory.com.pl/images/dropbox/ 등 차례로 누리꾼들을 많이 공격했다.

지난 23일 피싱 사이트 톱5는 △가짜 Facebook 메일류 http://fclips.com/ △허위 온라인 구매류 http://jfshouji.com/ △가짜 중국건설은행 http://m.cbcpkl.com/ccb.asp △텅쉰의 온라인 게임으로 위장한 http://js39002.com/ △Gmail 전자우편을 가장한 http://bacfs.com.au/cutlassalbum/ui89i/ 순으로 꼽혔다.

24일에는 △Palpay 전자우편을 가장한 http://southheadlines.com/newpp/ △가짜 중국이동통신류 http://10086kwoa.com/ △가짜 중국건설은행류 http://wap.ccbzoxb.com/ △텅쉰의 온라인 게임을 가장한 http://www.dnf987.com/ △Gmail 전자우편으로 위장한 http://www.sicakfirsat.com/dvd/db/db/box/index.php 등이 중국 누리꾼들에게 많은 피해를 입혔다.

주말이 낀 25일~27일 사흘 동안에는 △Palpay 전자우편을 가장한 http://www.atmar.ma/~verysign/ △가짜 중국이동통신류 http://l0086wix.com/Default.asp △가짜 중국건설은행류 http://95533qo.com/ △허위 온라인 구매류 http://bxcnzh.com/ △야후(Yahoo) 메일로 위장한 http://planeteinstein.com/kunle/ (사용자의 메일 계정과 비밀번호 편취) 순으로 피싱 사이트 톱5에 꼽혔다.

한편, 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 3월 21일에 2,229개, 22일 960개, 23일 1,107개, 24일 1,357개, 주말이 포함된 25일~27일에 5,807개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 21일에 연인원 4,439명, 22일 연 3,768명, 23일 3,459명, 24일 4,546명, 25일~27일 사흘 동안 1만2,825명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>