‘Trojan.Win32.Fednu.rr’, PC에 악성SW 투입...정보 훔쳐
‘Trojan.Win32.BHO.gdz’, 6주 연속 중국에서 활개
정보보안업체, 6월 첫째 주 피싱 사이트 약 1만개 탐지...4만명 피해

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터의 시스템 프로그램에 자신의 코드를 주입해 감염시키고 중요한 정보들을 빼내가는 트로이목마류 바이러스 ‘Fednu’에 PC 6,200여대가 감염 피해를 입은 것으로 드러났다. 또한 6월 첫째 주(5월 30일~6월 5일) 중국 정보보안업체가 국내에서 찾아낸 피싱 사이트는 약 1만개에 달했으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 나타났다.

中, ‘Trojan.Win32.Fednu.rr’에 PC 6,200여대 감염 피해
중국 정보보안회사인 루이싱정보기술은 지난 주 ‘클라우드 보안 시스템’을 써서 모니터링 하고 PC 사용자들로부터 신고를 받은 것을 종합한 결과, 이 기간 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스는 ‘Trojan.Win32.Fednu.rr’라고 밝혔다.

이 바이러스는 컴퓨터 내 시스템 핵심 위치에 대량의 악성 SW를 넣거나 오리지널 시스템 파일을 통제하게 된다. 이어 사용자를 꾈 수 있는 시스템 파일 이름을 만든 뒤, 속성을 숨김으로 수정하고 서비스가 자동으로 개시되도록 설정한다. 또한 컴퓨터 사용자가 다운로드 하는 틈을 타서 온라인 메신저 QQ에 많은 악성 SW를 투입한다.


이 때문에 컴퓨터 사용자는 민감한 정보를 도난당하고 금전 안전도 위협 받을 수 있다. 이 ‘Trojan.Win32.Fednu.rr’에 대한 경계 등급은 별 다섯 개 가운데 네 개다. 특히 중국에서 지난 5월 27일까지 이 ‘Trojan.Win32.Fednu.rr’에 6,229대의 PC가 감염된 것으로 확인됐다고 이 회사는 밝혔다.

지난 주 날짜별로 중국 내 PC 사용자들을 공격한 대표적인 바이러스들을 보면, 지난달 30일에는 ‘Backdoor.Win32.Mydoom.d’가 선정됐다. 이 회사는 ‘쿨라우드 보안’ 시스템을 통해 연인원 2만147명으로부터 신고를 접수했다. 이 백도어(backdoor)류 바이러스는 컴퓨터에 깔린 유명 안티바이러스 프로그램을 찾아내어 실행을 중지시킨다.

레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 또한 백그라운드에서 컴퓨터를 해커가 지정해 놓은 웹주소에 연결시키고 웹주소의 트래픽을 소모시킨다. 이로써 대량의 네트워크 자원을 점용한다. 인터넷이 느려지는 현상이 나타날 수 있다.

지난달 말일인 31일 중국에서 널리 퍼진 ‘Trojan.Win32.Fednu.uqy’(연인원 2만4,117명 신고)를 비롯해, 이달 1일 중국을 휩쓴 ‘Trojan.Win32.BHO.gdz’(연 2만8,618명 신고), 2일 대표적인 바이러스 ‘Backdoor.Win32.Rbot.gcy’(연 2만2,747명 신고), 주말 휴일인 3일~5일 중국에서 크게 번진 ‘Trojan.Win32.FakeLPK.g’(연 8만7,445명 신고)도 30일의 ‘Backdoor.Win32.Mydoom.d’과 같은 악성 활동과 피해를 일으킨 것으로 나타났다.
이 가운데 ‘Trojan.Win32.BHO.gdz’는 4월 25일~26일 이후 6주 연속 지속적으로 중국에서 널리 퍼진 대표적인 바이러스에 선정됐다. 또 ‘Trojan.Win32.FakeLPK.g’는 5월 마지막 주(23일~29일)에 누리꾼을 공격한 대표적인 바이러스에 지목된 바 있다. 2일의 ‘Backdoor.Win32.Rbot.gcy’는 지난달 23일에도 중국을 휩쓴 바이러스로 꼽혔다.

中 6월 첫째 주 피싱 사이트 약 1만개 탐지...4만명 공격 받아
루이싱은 지난 주 보안 시스템을 써서 중국에서 9,913개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전에 비해 900여개 줄었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 비슷한 규모인 4만 명에 달했다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 5월 30일에는 연인원 4,694명, 31일 5,560명, 6월 1일 5,987명, 2일 5,717명, 주말 휴일이 들었던 3일~5일 사흘 동안에는 연인원 1만4,650명에 달했다. 루이싱이 탐지한 피싱 웹주소는 5월 30일 1,477개, 31일 1,828개, 6월 1일 1,897개, 2일 1,632개, 3일~5일 사흘 간 4,021개였다.

이런 가운데 지난 주 중국에서는 텅쉰(Tencent)의 온라인 게임을 모방한 http://fz137.com/, 애플의 아이클라우드(iCloud) 메일로 위장한 http://ied-china.com/?u=4&atimes=1461804732167, 지메일(Gmail) 전자우편을 가장한 http://idwcadcam.com.au/wp-includes/images/smilies 따위의 피싱 사이트들은 누리꾼들의 전자우편 계정과 비밀번호를 훔쳐서 개인 정보와 금전 편취를 진행한 것으로 드러났다.


날짜 별로 중국에서 많은 누리꾼을 공격한 피싱 사이트 ‘톱5’를 보면, 먼저 지난달 30일에는 △유명 온라인 금융결제 사이트 페이팔(Paypal) 메일을 가장한 www.christmasbyzenith.com/wp-includes/Thanks.php?cmd=_account (카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.onwccb.cc/ (카드 번호와 비밀번호 훔침) △중국이동통신의 고객서비스 대표 번호를 내세운 http://10086.hngeg.com/%23w.asp (적립포인트의 현금 교환을 미끼로 카드 번호와 비밀번호 편취) △애플(Apple) ID메일을 가장한 http://igmis.edu.bd/mhcms-admin/tools/media/log-in/ (카드 번호와 비밀번호 훔침) △가짜 Gmail 전자우편류 www.mir-girlgames.ru/wp-includes/pdf03/dropbox/ (계정과 비밀번호 편취) 순으로 꼽혔다.

이어 31일 누리꾼을 많이 공격한 피싱 사이트는 △텅쉰의 온라인 게임으로 속인 www.1000dnf.com/ (허위 S/W 정보로 계정과 비밀번호 편취) △중국건설은행을 사칭한 http://wap.ccvkzb.com/ △이베이(ebay) 전자우편을 가장한 http://vi.sandbox.ebaydesc.de./ws/ (계정과 비밀번호 훔침) △Paypal 전자우편으로 위장한 www.plish.ru/system/logs/ △가짜 야후(Yahoo) 메일류 http://aiunion.lk/leo/mail.html (계정과 비밀번호 빼냄) 차례였다.

6월 첫째 날인 1일에는 △페이스북(Facebook) 메일을 가장한 http://fclips.com(계정과 비밀번호 훔침) △텅쉰의 온라인 게임으로 위장한 www.dnf3996.com △중국건설은행을 사칭한 http://jsvipk.com/ △가짜 Paypal 전자우편류 http://perso.menara.ma/~verysin/ △Gmail 전자우편을 가장한 http://chefdongazz.com/ddocs/ddocs/ddocs/ 순으로 피싱 사이트 톱5 안에 지목됐다.

지난 2일 피싱 사이트 톱5은 △온라인 구매(쇼핑)으로 위장한 http://zpiny.com/ (허위 쇼핑 정보로 사용자의 금전 편취) △윈도우 엑셀(Windows Excel) 메일을 가장한 www.czaragroup.com/admin/css/excel/ (계정과 비밀번호 훔침) △가짜 Apple ID류 www.freeappsgiveaway.com/administrator/components/ (카드 번호와 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.ccvemp.com/ △가짜 Gmail전자우편류 http://chase-update.square7.ch/jxh/ 순이었다.

주말 휴일이 든 3일~5일 사흘 동안에는 △가짜 텅쉰 온라인 게임류 www.dnf987.com/ △Paypal 계정으로 위장한 http://paypalresolu.myjino.ru/payus/1996dd75c6d98ee1f20f9600a73dfd33/ △Apple ID메일을 가장한 www.thunderboltproductions.com.au/test2/Center/x/aaa/ △중국건설은행을 사칭한 http://wap.dsrccb.cc/ △가짜 Gmail 메일류 http://secure.xls.login.airbornefnq.com.au/excel/index2.php 등 차례로 피싱 사이트 톱5에 들었다.

한편 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 지난달 30일 2,096개, 31일 2,140개, 6월 1일 2,512개, 2일 2,455개, 주말 휴일이 포함된 3일~5일에는 4,414개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 5월 30일 연인원 4,640명, 31일 5,831명, 6월 1일 5,033명, 2일 5,815명, 3일~5일 사흘 간 연인원 1만3,157명에 달한 것으로 집계됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>