“레지스트리 키값 수정...민감한 정보 빼내”
4월 넷째 주 피싱 사이트 8,800여개 탐지...4만명 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 4월 넷째 주(18일~24일) PC 내 레지스트리 키값을 수정해서 컴퓨터를 감염시킨 뒤 민감한 정보들을 빼내는 ‘Agent’란 이름이 붙은 새로운 웜(worm) 바이러스가 나타나 1만대 안팎의 컴퓨터를 감염시킨 것으로 드러났다. 이 기간 중국 정보보안업체는 국내에서 8,800여 개의 피싱 사이트를 찾아냈으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 4월 넷째 주 주요 PC 바이러스 동향
중국 정보보안 솔루션회사인 루이싱정보기술은 지난 18일~24일 ‘클라우드 보안 시스템’을 써서 중국 내 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 뽑아 공개했다. 이 기간 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스에는 ‘Worm.Win32.Agent.yzs’가 뽑혔다.


이 웜 바이러스는 시스템 키 디렉터리 아래 위장된 자신의 복사본을 투입하고 시스템 키 실행프로그램으로 명명한다. 이어 자동 시작 방식을 추가해 컴퓨터에 침입한다. 또 컴퓨터 사용자의 주도적인 다운로드, 웹페이지 내 트로이목마 투입, 실시간 메신저(채팅) 프로그램 전파 등 경로를 써서 투입한 자신의 복사본으로 시스템을 교차 감염시킨다. 이 때문에 컴퓨터 사용자의 민감한 정보들이 유출될 수 있다.

이 회사는 지난 14일까지 이 바이러스에 감염된 컴퓨터 8,309대를 탐지했다고 밝혔다. 하지만 그 뒤 중국에서 이 바이러스에 감염된 PC는 더 늘어났을 것으로 추정되고 있다. 이 회사는 ‘Worm.Win32.Agent.yzs’ 바이러스에 대한 경게 등급으로 별 다섯 개 가운데 네 개를 매겼다.

날짜별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 18일에는 ‘Trojan.Win32.Fednu.diu’가 꼽혔다. 이 회사의 ‘클라우드 보안’ 시스템이 연인원 2만7,863명으로부터 신고를 받았다.

이 바이러스는 PC에 설치된 유명 안티바이러스 프로그램을 찾아내어 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 실행된다. 또 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시킨 다음, 웹주소의 트래픽을 소모시키고 네트워크 자원을 대량 점용한다. 이로 인해 인터넷 속도도 느려지는 현상이 일어난다.

이어 19일 중국을 휩쓴 ‘Worm.Script.VBS.Agent.cq(연 2만9,741명 신고), 20일 ‘Worm.Script.VBS.Agent.z’(연 2만1,591명 신고), 21일 ‘Trojan.Win32.Fednu.diu’(연 2만4,907명 신고), 22일~24일 사흘 동안 중국에서 널리 퍼진 ‘Worm.Mail.NetSky.mz’(연 2만3,3,01명 신고)도 ‘Trojan.Win32.Fednu.diu’와 비슷한 악성 활동을 하면서 피해를 야기하는 것으로 밝혀졌다.

유형 별로 보면, 웜 바이러스가 4개, 트로이목마류가 2개를 각각 차지했다. 이 가운데 ‘Trojan.Win32.Fednu.diu’는 지난 18일에 이어 21일에도 중국에서 널리 퍼져 컴퓨터 사용자들을 공격한 대표적인 바이러스에 지목됐다.

中 4월 넷째 주 누리꾼 4만 명 피싱 사이트 공격 받아
루이싱은 4월 18일~24일 보안 시스템을 써서 중국에서 8,832개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 805개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전 주와 비슷했다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 4월 18일에는 연인원 7,321명, 19일 6,198명, 20일 5,460명, 21일 8,654명, 주말 휴일이 들었던 22일~24일 사흘 동안에는 연인원 1만3,682명에 달했다. 루이싱이 탐지한 피싱 웹주소는 18일 2,022개, 19일 1,446개, 20일 1,332개, 21일 2,291개, 22일~24일 사흘 동안 5,668개였다.

또한 이 기간에 윈도우(Windows) 메일을 가장한 http://dengswire.com/ass/doc.php/, 온라인 구매(쇼핑)으로 위장한 http://tjip6.com/, 중국건설은행을 사칭한 http://wap.fuccb.cc/ 등의 피싱 사이트들이 누리꾼들의 사용자 개인 정보들을 빼내가고 금전을 훔쳐가려 한 것으로 밝혀졌다.

날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 지난 18일에는 △중국건설은행을 사칭한 www.95533-hkccb.com/ (카드 번호와 비밀번호 편취) △아이클라우드(iCloud) 메일을 가장한 www.icloudmyiphoneid.com/id.asp (메일 계정과 비밀번호 빼냄) △온라인 금융결제 사이트 페이팔(Paypal) 메일로 위장한 http://paypal.com.incsuport.ml/signin/9280066N8915233626C2 (메일 계정과 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://fip6.com/ (허위 구매 정보로 사용자 금전 편취) △지메일(Gmail) 전자우편을 가장한 http://receipts.dellvery.online/en/dropbox/dropbox/ (메일 계정과 비밀번호 훔침) 순이었다.

이어 19일 중국 내 대표적인 피싱 사이트들은 △iCloud 메일로 속인 www.orlandofamilyholiday.com/css/.3ad534/?34261165162= △중국건설은행을 사칭한 http://95533abd.com/ △가짜 Paypal 메일류 http://update-account-information-now.help-us.ml/signin/ △텅쉰(Tencent)의 온라인 게임으로 위장한 www.jfzrfz.com/ (허위 S/W 정보로 사용자의 계정과 비밀번호 훔침) △가짜 Gmail 전자우편류 http://colegiosanandres.webescuela.cl/drop/dropbox/ 등 차례였다.

지난 20일에는 △어도비(Adobe) 메일로 위장한 http://c3-media.com/psfy/28a3d0b3a1ec4d44d1cb6ec351811307/ (메일 계정과 비밀번호 훔침) △중국건설은행을 사칭한 www.95533abf.com/ (카드 번호와 비밀번호 빼냄) △가짜 윈도우(Windows) 메일류 http://hashimigarments.com/shopping/ (메일 계저오가 비밀번호 훔침) △허위 Paypal 메일류 http://updatepaypalsummary.2545874122365874122369877987712241253.blo-der25.com/ △가짜 Gmail 전자우편류 http://realtorsnz.co.nz/wp-content/sis/fo/index.php 순으로 누리꾼에 피해를 준 피싱 사이트 톱5에 지목됐다.


21일 피싱 사이트 톱5는 △텅쉰의 온라인 게임으로 위장한 www.920dnf.com/ △중국건설은행을 사칭한 www.ccbpix.com/ △가짜 온라인 구매류 http://wfwhzy.com/ △가짜 Paypal 전자우편류 www.bgyarmatplebania.hu/wp-content/languages/ △허위 Gmail 전자우편류 http://blownfreaks.com/content/ 등 차례였다.

주말 휴일이 들었던 22일~24일 사흘 동안에는 △애플 스토어(Apple Strore) 메일로 위장한 http://duhocseikoo.edu.vn/dump/ (허위 S/W 정보로 사용자 계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.xmsud.cc/ △윈도우(Windows) 메일을 가장한 http://new.fullbodywine.com/bmg/others/ △Paypal 메일로 위장한 http://agh-tour.com/fotos/utmsubmit6555result1297scale/ △가짜 야후(Yahoo) 메일류 http://asengo.net/Arab/Verify/Login_yahoo.html 순으로 피싱 사이트 톱5에 들었다.

이 기간 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 4월 18일 1,472개, 19일 1,757개, 20일 1,567개, 21일 2,825개, 주말 휴일이 포함된 22일~24일 사흘 동안 5,673개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 18일 연인원 3,563명, 19일 연 4,657명, 20일 4,985명, 21일 5,763명, 22일~24일 사흘 동안 연 1만9,161명이었다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>