Fednu, PC 핵심 프로그램에 코드 주입 ‘민감한 정보 빼내’

[보안뉴스 온기홍= 중국 베이징] 중국에서 4월 셋째 주(11일~17일) PC내 시스템 핵심 프로그램에 자신의 코드를 주입하고 컴퓨터를 감염시킨 뒤 민감한 정보들을 빼내는 ‘Fednu’란 이름이 붙은 새 바이러스가 누리꾼들을 공격한 것으로 드러났다. 이 기간 중국 정보보안업체는 국내에서 8,000여 개의 피싱 사이트를 찾아냈으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 4월 셋째 주 주요 PC 바이러스 동향
중국 정보보안 솔루션회사 루이싱정보기술은 지난 11일~17일 ‘클라우드 보안 시스템’을 써서 중국 내 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 뽑아 공개했다. 이 기간 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스에는 ‘Trojan.Win32.Fednu.rr’가 뽑혔다.


이 바이러스는 누리꾼의 내려 받기, 웹페이지 삽입, SNS 대화 프로그램(메신저) 같은 경로를 통해 퍼졌다. PC 내 루트 디렉터리 아래 ‘lpk.dll’(위장한 이름) 악성 SW를 투입하고 서비스를 등록해 자동으로 활성화한다. 이로써 디스크의 모든 Exe 파일 폴더 디렉터리를 감염시킨다. 루이싱정보기술의 보안 시스템은 최근 탐지한 감염 대수는 8,745대였다. 위협을 받은 시스템은 Windows XP, Windows 2000, Windows 2003, Windows Vista, Windows 7, Windows 8 이었다.

이 바이러스에 감염되면 민감한 정보의 도난 등 문제가 일어난다. 이 회사는 ‘Trojan.Win32.Fednu.rr’에 대한 경계 등급으로 별 다섯 개 가운데 네 개를 매겼다.

날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 먼저 11일에 중국에서 널리 퍼진 대표적인 바이러스는 ‘Worm.Script.VBS.Agent.co’. 루이싱의 보안 시스템이 2만7,899명으로부터 신고를 접수했다. 이 웜(worm) 바이러스는 PC에 설치된 유명 안티바이러스 프로그램을 찾아낸 다음 실행을 중지시킨다.

레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 악성 웹주소의 트래픽을 늘린다. 이로써 네트워크 자원을 대량 점용하며, 나아가 네트워크가 막히는 현상이 일어난다고 이 회사는 밝혔다.

이어 12일 중국을 휩쓴 ‘Worm.Win32.Gamarue.l’(연 2만8,834명 신고), 13일 ‘Worm.Win32.Gamarue.w’(연 2만4,648명 신고), 14일 ‘Trojan.Win32.BHO.gdz’(연 2만4,776명 신고), 그리고 주말 휴일이 들었던 15일~17일 사흘 동안 중국에서 크게 번진 ‘Worm.Script.VBS.Agent.gi’(연 12만5,541명 신고) 등도 11일의 ‘Worm.Script.VBS.Agent.co’과 같은 악성 활동으로 누리꾼들을 공격했다.

이 가운데 ‘Trojan.Win32.BHO.gdz’는 3주 연속 중국에서 크게 번져 누리꾼들을 괴롭혔다. 유형별로 보면, 웜(worm) 바이러스류는 4개, 트로이목마류가 1개였다.

中 4월 셋째 주 누리꾼 4만 명 피싱 사이트 공격 받아
루이싱은 4월 11일~17일 보안 시스템을 써서 중국에서 8,027개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 1,657개 줄었다. 2주 동안 2,116개가 증가했다가 감소세로 돌아섰다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전 주와 같았다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 4월 11일에는 연인원 5,450명, 12일 9,383명, 13일 5,896명, 14일 5,804명, 주말 휴일이 들었던 15일~17일 사흘 동안에는 연인원 2만9,825명에 달했다. 루이싱이 탐지한 피싱 웹주소는 11일 1,549개, 12일2,862개, 13일 1,526개, 14일 1,638개, 15일~17일 사흘 간 3,884개였다.

이 기간 대표적으로 미국계 유명 온라인 금융 결제 시스템인 페이팔(Paypal) 전자우편을 가장한 http://peeep.us/9468225b/, 중국이동통신(China Mobile)으로 위장한 http://100860lpp.com, 중국건설은행을 사칭한 http://www.95533vy.com/ 등의 피싱 사이트들이 누리꾼들의 전자우편 및 인터넷 뱅킹의 계정∙비밀번호와 개인 정보들을 빼내간 것으로 밝혀졌다.


날짜별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 지난 11일에는 △지메일(Gmail) 전자우편을 가장한 http://webokay.com/ceo-files/ (전자우편 계정과 비밀번호 빼냄) △텅쉰(Tencent)의 온라인게임으로 속인 http://dnf620.com/ (허위 SW 정보로 계정과 비밀번호 훔침) △중국건설은행을 사칭한 www.vazebe.cc/ (사용자 카드 번호와 비밀번호 편취) △허위 온라인 구매(쇼핑)류 http://520czl.com/ (허위 구매 정보로 사용자의 금전 빼냄) △어도비(Adobe) 전자우편으로 위장한 http://andreschwartz.co.za/wp-content/pages/pages/pages/ (전자우편 계정과 비밀번호 편취) 순이었다.

이어 12일 중국을 휩쓴 대표적인 피싱 사이트들은 △야후(Yahoo) 전자우편을 가장한 www.amazonvideoreviews.net/.../ (전자우편 계정과 비밀번호 편취) △중국이동통신으로 위장한 http://jsl10086.com/ (적립금의 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 www.ccobvip.com/register.ASP?id=1 △가짜 애플(Apple) 전자우편류 http://appleidlock.com/signin.php (전자우편 계정과 비밀번호 훔침) △페이팔(Paypal) 전자우편을 가장한 www.perlabsshipping.com/update-your-account-information/ (전자우편 계정과 비밀번호 편취) 등 차례로 지목됐다.

지난 13일에는 △가짜 Gmail 전자우편류 http://bwasaa.biz/zone/plain_zip_0/dropbox/ △허위 온라인 구매류 http://cyip6.com/ △중국건설은행을 사칭한 www.95533aap.com/ △중국이동통신을 가장한 www.10086qrv.com/ △허위 윈도우(Windows) 전자우편류 http://famagliablog.com/wp-includes/js/tinymce/xceI/docx.php(전자우편 계정과 비밀번호 훔침) 등이 피싱 사이트 톱5 안에 들었다.

14일 피싱 사이트 톱5은 △가짜 Windows 전자우편류 http://dengswire.com/ass/doc.php/ △허위 온라인 구매류 http://tjip6.com/ △중국건설은행을 사칭한 http://wap.fuccb.cc/ △텅쉰의 온라인 게임을 가장한 http://dnfgg.com/ △Gmail 전자우편류 www.ryanmcdougle.com/admin/mgs/es/index.php/ 순으로 지목됐다.

주말이 들었던 15일~17일 중국에서 널리 퍼진 피싱 사이트들은 △중국건설은행을 사칭한 http://wap.tyuaxv.com/ △Gmail 전자우편을 가장한 www.nydndenver.com/pspp/psp/psp/note/ △중국공상은행을 사칭한 http://103.242.2.152/ △허위 온라인 구매류 http://tjxuequfang.cn/ △Facebook 전자우편류 www.cppnewsfr.com/h-en/ 등이었다.

이 기간 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 4월 11일 2,793개, 12일 1,347개, 13일 1,874개, 14일 1,729개, 주말 휴일이 포함된 15일~17일 사흘 동안 5,908개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 11일 연인원 3,695명, 12일 연 4,621명, 13일 4,046명, 14일 4,540명, 15일~17일 사흘 동안 연 1만2,645명이었다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>