보안프로그램 위장, 백그라운드에서 정보 훔치는 트로이목마 활개

[보안뉴스 온기홍=중국 베이징] 중국에서 4월 둘째 주(4일~10일) 컴퓨터 내 파일 폴더로 위장해 사용자를 꾀어 클릭하게 하는 동시에 보안프로그램으로도 위장하고 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시켜 중요한 정보들을 빼내가는 ‘VBCode’란 이름의 트로이목마가 널리 퍼진 것으로 드러났다. 이 기간 중국 정보보안업체는 국내에서 약 9,700개의 피싱 사이트를 찾아냈으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 4월 둘째 주 주요 PC 바이러스 동향
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 4일~10일 ‘클라우드 보안 시스템’을 써서 중국 내 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 뽑아 공개했다. 이 회사는 지난 한 주 동안 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스로 ‘Trojan.Win32.VBCode.fin’를 꼽았다.

이 바이러스는 컴퓨터 내 파일 폴더로 위장해 사용자를 꾀어 클릭하게 하고, 안티바이러스 실행 프로그램으로도 위장한다. 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 특히, 파일명을 숨기는 것으로 드러났다.

백그라운드에서 PC를 해커가 지정한 웹주소에 연결시킨다. 이어 컴퓨터 안에 있는 민감한 정보들을 빼내어 간다. 이 회사는 ‘Trojan.Win32.VBCode.fin’에 대한 경계 등급으로 별 다섯 개 가운데 세 개를 매겼다.


날짜 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 먼저 4월 5일에는 ‘Trojan.PSW.Win32.QQPass.fll’가 꼽혔다. 이 회사가 보안시스템을 통해 연인원 2만3,476명으로부터 신고를 받은 이 바이러스는 컴퓨터에 설치된 유명 안티바이러스 실행 프로그램을 찾아낸 다음 실행을 중지시킨다.

동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 또한, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 악성 웹주소의 트래픽을 늘린다. 이로써 네트워크 자원을 대량 점용하며, 네트워크가 막히는 현상이 일어날 수 있다고 이 회사는 설명했다.

이어 6일 중국을 휩쓴 대표적인 바이러스 ‘Worm.Win32.Gamarue.z’(연 2만5,402명 신고), 7일 크게 번진 ‘Trojan.Win32.BHO.gdz’(연 2만4,429명 신고), 8일~10일 사흘 동안 대표적인 바이러스 ‘Trojan.Win32.VbUndef.a’(연 2만5,540명 신고)는 모두 5일의 ‘‘Trojan.PSW.Win32.QQPass.fll’와 같은 악성 활동을 벌이며 누리꾼을 공격했다. 이 가운데 ‘Trojan.Win32.BHO.gdz’는 2주 연속 중국에서 널리 퍼져 누리꾼들을 괴롭혔다. 유형 별로 보면, 트로이목마류가 4개, 웜(worm) 바이러스는 1개였다.

中 4월 둘째 주 누리꾼 4만 명 피싱 사이트 공격 받아
루이싱은 4월 4일~10일 보안 시스템을 써서 중국에서 9,684개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 504개 늘었다. 2주 동안 2,116개가 증가했다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전 주와 비슷했다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 4월 5일에는 연인원 7,933명, 6일 7,285명, 7일 6,162명, 주말 휴일이 들었던 8일~10일 사흘 동안에는 연인원 1만9,658명에 달했다. 루이싱이 탐지한 피싱 웹주소는 5일 1,752개, 6일 1,692개, 7일 1,625개, 8일~10일 사흘 간 3,949개였다.

이런 가운데 대표적으로 △페이스북(Facebook) 전자우편을 가장한 http://sinopsisantv.work/ △중국이동통신(China Mobile)으로 위장한 http://l0086iso.com/ △중국건설은행을 사칭한 http://103.39.78.251/ 등의 피싱 사이트들이 누리꾼들의 전자우편 및 인터넷 뱅킹의 계정∙비밀번호와 개인 정보들을 빼내간 것으로 밝혀졌다.


날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 5일은 △가짜 Facebook 전자우편류 www.falsebook.info/ (전자우편 계정과 비밀번호 훔침) △가짜 온라인 구매(쇼핑)류 http://m.huihuipa.com/m/ (허위 구매 정보로 사용자 금전 편취) △중국건설은행을 사칭한 www.ccbccbz.com/login.asp?id=1 (사용자 카드 번호와 비밀번호 훔침) △페이팔(Paypal) 전자우편을 가장한 http://www.kvkkalikiri-angrau.org/administrator/components/com_alss/mpp/ (전자우편 계정과 비밀번호 빼냄) △지메일(Gmail) 전자우편으로 위장한 http://giordanovega.com.ar/7641GHEJA/ (전자우편 계정과 비밀번호 편취) 순이었다.

이어 6일에는 △가짜 Facebook 전자우편류 http://adamex.5v.pl/fajne/ △가짜 중국이동통신류 http://l0086mqh.com/ (적립금의 현금 교환 정보로 사용자의 카드 번호와 비밀번호 편취) △중국건설은행을 사칭한 http://wap-ccbvip.com/indexS.asp △허위 온라인 구매류 http://v999.jjzl.com.cn/tmall9/ip6.php △Gmail 전자우편류 http://dnaofsuccess.net/wp-includes/10/fox/dropbox/ 등 차례로 많은 누리꾼들을 속였다.
지난 7일 중국 내 대표적인 피싱 사이트 톱5에는 △가짜 Facebook류 http://facebook.videolistem.com/ △허위 온라인 구매류 http://13buy8.com/ △중국이동통신을 가장한 http://10086yide.com/ △중국건설은행을 사칭한 http://wap.ccdykaz.com/index.asp △Gmail 전자우편으로 위장한 http://viviansanchez.com/access/ipad/ 순으로 꼽혔다.

휴일이 들었던 4월 8일~10일 사흘 동안에는 △Gmail 전자우편을 가장한 www.villard-france.fr/libraries/dropbox/ △텅쉰(Tencent)의 온라인 게임으로 위장한 www.23yx.cc/ (허위 S/W 정보로 사용자의 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://45.127.204.212/cheack.html △허위 온라인 구매류 http://v1.jgsz.com/tmall3_daigou/ip6.php △Paypal 전자우편을 가장한 www.kvkkalikiri-angrau.org/administrator/components/com_alss/mpp/ 등 차례로 피싱 사이트 톱5에 지목됐다.

이 기간 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 4월 5일 1,406개, 6일 2,277개, 7일 2,243개, 주말 휴일이 포함된 8일~10일 사흘 동안 6,550개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 5일 연인원 3,948명, 6일 연 4,760명, 7일 4,908명, 8일~10일 사흘 간 연 1만4,139명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>