‘Trojan.Win32.BHO.gdz’과 ‘Worm.Mail.NetSky.lz’, 2주 연속 공격
中 보안업체, “피싱사이트 1만600여개 탐지...4만명 공격 받아”

[보안뉴스 온기홍= 중국 베이징] 중국에서 5월 첫째 주(5월 2일~8일) 컴퓨터 시스템 핵심 프로그램에 자신의 코드를 투입하고 온라인 메신저 프로그램에 악성 SW를 삽입한 뒤 중요한 정보들을 훔치는 ‘Fednu’란 이름의 트로이목마가 활개를 친 것으로 나타났다. 이 기간 중국 정보보안업체는 국내에서 약 1만700개의 피싱 사이트를 찾아냈으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 드러났다.

중국 정보보안회사인 루이싱정보기술은 5월 2일~8일 ‘클라우드 보안 시스템’을 통해 중국 내 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 뽑아 공개했다. 이 기간 중국 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스에는 ‘Trojan.Win32.Fednu.rr’가 뽑혔다.


이 바이러스는 시스템 핵심 위치에 대량의 악성 SW를 투입하거나 원본 시스템 파일을 제어함으로써 악성 SW를 로딩한다고 이 회사는 설명했다. 또한 시스템 파일 이름으로 명명해 컴퓨터 사용자를 속이는 한편, 속성을 숨김으로 수정하고 서비스가 자동으로 활성화하도록 설정한다. 이로써 컴퓨터 사용자가 주도적으로 다운로드 하는 것을 틈타 온라인 메신저 프로그램 ‘QQ’에 많은 악성 SW를 투입한다.

컴퓨터가 이 바이러스에 감염되면, 중요하고 민감한 정보들이 도난당하고 금전 유출도 위협 받게 된다고 이 회사는 설명했다. 최근까지 중국에서 PC 6,589대가 이 바이러스에 감염된 것으로 확인됐다고 이 회사는 밝혔다. 이 회사는 ‘Trojan.Win32.Fednu.rr’에 대한 경계 등급으로 별 다섯 개 가운데 네 개를 매겼다.

날짜 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 5월 3일에는 ‘Trojan.PSW.Win32.QQPass.fll’가 꼽혔다. 이 회사가 ‘클라우드 ‘보안’ 시스템을 써서 연인원 2만4,473명으로부터 신고를 받았다. 이 바이러스는 PC 안에 설치된 유명 안티바이러스 프로그램들을 찾아내어 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 웹주소의 트래픽을 소모시킨다. 이로써 대량의 네트워크 자원을 점용한다. 나아가 인터넷이 느려지는 현상이 일어난다.

지난 4일 중국을 휩쓴 ‘Trojan.Win32.BHO.gdz’(연인원 2만4,673명 신고), 5일 중국에서 널리 퍼진 ‘Trojan.Win32.BHO.gdz’(연 2만18명 신고), 6일~8일 크게 번진 웜(worm) 바이러스 ‘Worm.Mail.NetSky.lz’(연 2만1,983명 신고)도 3일의 ‘Trojan.PSW.Win32.QQPass.fll’와 비슷한 악성 활동하면서 피해를 일으킨 것으로 드러났다.

지난 한 주일간 대표적인 바이러스의 유형별로 보면, 트로이목마류가 4개, 웜 바이러스류는 1개였다. 특히 이 가운데 ‘Trojan.Win32.BHO.gdz’는 4월 25일~26일 이틀 연속 중국에서 널리 퍼져 누리꾼들을 공격한 대표적인 바이러스에 지목된 데 이어, 5월 들어서도 4일~5일 이틀 연속 중국을 휩쓴 바이러스에 꼽혔다. 또한 ‘Worm.Mail.NetSky.lz’도 지난 노동절 연휴(4월 30일~5월 2일)에 이어 5월 6일~8일 주말 휴일에도 중국에서 크게 번져 누리꾼들을 공격했다.

中 5월 첫째 주 4만 명 피싱 사이트 공격 받아
루이싱은 지난 2일~8일 보안 시스템을 써서 중국에서 1만679개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 1,477개 늘었으며, 3주 연속 증가했다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전 주와 비슷한 규모를 보였다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 5월 3일에는 연인원 4,553명, 4일 4,548명, 5일 4,332명, 주말 연휴가 들었던 6일~8일 사흘 동안에는 연인원 1만1,962명에 달했다. 루이싱이 탐지한 피싱 웹주소는 3일 1,257개, 4일 1,128개, 5일 1,425개, 6일~8일 사흘 간 3,513개였다.

이런 가운데 이 기간에 △중국 텅쉰(Tencent)의 온라인게임을 가장한 http://fz137.com/ △애플의 아이클라우드(Apple iCloud) 전자우편으로 위장한 http://ied-china.com/?u=4&atimes=1461804732167 △지메일(Gmail) 전자우편으로 속인 http://idwcadcam.com.au/wp-includes/images/smilies 따위의 피싱 사이트들이 누리꾼들의 사용자 개인 정보들을 빼내가고 금전을 노린 것으로 밝혀졌다.


날짜 별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 지난 5월 3일에는 △페이스북(FaceBook) 전자우편을 가장한 http://cometoflyme.info/login2.asp (전자우편 계정과 비밀번호 훔침) △중국이동통신(China Mobile)으로 위장한 http://10086gve.com/ (적립 포인트의 현금 교환정보로 사용자를 속여 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 www.ccbdvk.com/ (카드 번호와 비밀번호 훔침) △온라인 구매(쇼핑)으로 위장한 http://web.only-u.cn/tmall8/ip6.php?sid=5&adid=73&uid=8 (허위 구매 정보로 사용자의 금전 편취) △지메일(Gmail) 전자우편을 가장한 http://newtesting.fantasiaconstruction.ca/3c457d4b78edb5820cfb1c0576b5279a/ (전자우편 계정과 비밀번호 훔침) 순이었다.

이어 4일 중국 누리꾼들을 많이 공격한 피싱 사이트들은 △윈도우(Windows) 전자우편을 가장한 http://rcompileservices.com/~sanjeeva/images/view/purchase/xcel/ (전자우편 계정과 비밀번호 빼냄) △애플 아이듄즈(Apple iTunes) 전자우편으로 위장한 http://duhocseikoo.edu.vn/dump/ (카드 번호와 비밀번호 편취) △중국건설은행을 사칭한 www.sosw114.com/ (카드 번호와 비밀번호 훔침) △온라인 금융 결제 사이트인 페이팔(Paypal) 전자우편을 가장한 www.veliy-prof.ru/pplp/db6b16dac847bc4460e71435fc7dc12e/ (전자우편 계정과 비밀번호 빼냄) △야후(Yahoo) 전자우편으로 위장한 http://coopmetro.com.br/thene/ym/ (전자우편 계정과비밀번호 훔침) 차례였다.

지난 5일에는 △Apple iTunes 전자우편을 가장한 http://duhocseikoo.edu.vn/dump/.link/index.html (카드번호와 비밀번호 편취) △텅쉰의 전자우편으로 위장한 http://fksdjf.science/ (전자우편 계정과 비밀번호 편취) △중국건설은행을 사칭한 http://103.55.27.99/ (카드 번호와 비밀번호 훔침) △Paypal 전자우편을 사칭한 http://account-update.tolentinestar.com/Confirm-your-account/account △Gmail 전자우편을 가장한 http://meble-walcz.pl/MyDocx/docx/ 순으로 피싱 사이트 톱5 안에 들었다.

주말이 들었던 6일~8일 사흘 동안 중국 누리꾼들을 속인 대표적인 피싱 사이트들은 △Paypal 전자우편으로 위장한 http://update-your-account.skydxxvr.com/mpp/ △가짜 온라인 구매류 http://bjzgra.com/ △Apple iTunes 전자우편을 가장한 www.agmprefabrik.com/members-risposta.it/accedi-ebay0nline-it/ △중국건설은행을 사칭한 http://95533lb.com/ △가짜 Gmail 전자우편류 http://mbkompany.org/filer/utsikt/nedlasting/ 등이었다.

이 기간 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 5월 3일 1,107개, 4일 1,729개, 5일 3,043개, 주말 연휴가 포함된 6일~8일 사흘 동안 5,911개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 3일 연인원 4,558명, 4일 연 6,651명, 5일 6,118명, 6일~8일 사흘 간 연 1만3,943명이었다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>