‘Trojan.Win32.Fednu.rr’, PC 시스템 디렉터리에 악성 SW 투입
정보보안업체, 6월 둘째 주 피싱 사이트 약 1만1,600개 탐지...4만명 피해

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 컴퓨터 내 정보를 훔치는 ‘VBCode’란 이름의 트로이목마가 12만대에 달하는 PC를 감염시킨 것으로 드러났다. 또한, 단오절 연휴가 든 6월 둘째 주(6월 6일~12일) 중국 정보보안업체가 국내에서 찾아낸 피싱 사이트는 약 1만1,600개에 달했으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 나타났다.

中, ‘Trojan.Win32.VBCode.fin’에 PC 약 12만대 감염 피해
중국 정보보안회사인 루이싱정보기술은 지난 주 ‘클라우드 보안 시스템’을 써서 모니터링 하고 PC 사용자들로부터 신고를 받은 것을 종합한 결과, 이 기간 ‘Trojan.Win32.VBCode.fin’가 정보보안 업계와 누리꾼들의 주목을 많이 받은 바이러스라고 밝혔다.


이 트로이목마는 PC의 ‘System32’ 시스템 디렉터리 아래 악성 파일을 넣고 레지스트리를 수정해 시스템 서비스에 로그인 한다. 이어 시스템 실행 프로그램 ‘svchost.exe’을 원격으로 주입하고, 몰래 ‘cmd’를 전용해 자신을 삭제한다. 시스템 핵심 디렉터리 아래 악성 SW를 투입함으로써 디스크의 Exe 파일도 감염시킨다. 이와 함께 루트(root) 디렉터리 아래 위장 ‘lpk’의 악성 SW를 투입하고 원격 웹페이지에 방문하며 몰래 악성 SW를 내려 받는다.

컴퓨터가 이 바이러스에 감염되면 중요한 정보들이 도난당하고 재산 손실 등 위협에 놓이게 된다. 이 ‘Trojan.Win32.VBCode.fin’에 대한 경계 등급은 별 다섯 개 가운데 네 개다. 특히 중국에서 지난 3일까지 이 ‘Trojan.Win32.VBCode.fin’에 PC 11만8,203대가 감염된 것으로 확인됐다고 루이싱정보기술은 밝혔다.

지난 주 날짜별로 중국 내 PC 사용자들을 공격한 대표적인 바이러스들을 보면, 6일에는 ‘Worm.Win32.Gamarue.z’가 지목됐다. 루이싱정보기술이 ‘클라우드 보안’ 시스템을 통해 연인원 2만3,316명으로부터 신고를 받았다. 이 웜(worm) 바이러스는 PC에 깔린 유명 안티바이러스 프로그램을 찾아내어 실행을 멈추게 하고, 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 이어 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 웹주소의 트래픽을 소모시킨다. 또한 네트워크 자원을 대량 점용하는데, 인터넷이 느려지는 현상이 일어난다.

이어 7일 중국을 휩쓴 대표적인 바이러스 ‘Worm.Win32.Gamarue.w’(연 2만3,311명 신고), 단오절 연휴(9일~11일)가 낀 8일~11일 나흘 동안 널리 퍼진 ‘Worm.AutoIt.b’(연 8만9,556명 신고), 12일 대표적인 바이러스 ‘Worm.Win32.Gamarue.kz’(연 2만5,876명 신고)도 6일의 ‘Worm.Win32.Gamarue.z’과 비슷한 악성 활동을 하면서 누리꾼들을 공격한 것으로 나타났다.

中 6월 둘째 주 피싱 사이트 약 1만1,600개 탐지...4만명 공격 받아
루이싱은 지난주 보안 시스템을 써서 중국에서 1만1,575개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전에 비해 1,662개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 같은 4만 명에 달했다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 6일에는 연인원 5,154명, 7일 4,519명, 단오절 연휴가 들었던 8일~11일 나흘 간 연인원 2만377명, 휴일 12일 5,711명에 달했다. 루이싱정보기술이 탐지한 피싱 웹주소는 6일 2,525개, 7일 1,231개, 8일~11일 6,460개, 12일 2,819개였다.

이런 가운데 지난 주 중국에서는 지메일(Gmail) 전자우편을 가장한 http://migarantia.com.py/kkkkl/googledrivee/nD/, 온라인 구매(쇼핑)으로 위장한 http://pingguo6.s.a020.net/, 어도비(Adobe) ID전자우편으로 속인 http://recipewall.net/wp-includes/js/tinymce/utils/ 등 피싱 사이트들이 누리꾼들의 전자우편 계정과 비밀번호를 훔쳐서 개인 정보와 금전을 빼내려 했다.


날짜 별로 중국에서 많은 누리꾼을 공격한 피싱 사이트 ‘톱5’를 보면, 먼저 6일에는 △가짜 Gmail전자우편http://thecolombianpost.com:8081/cache/dropbox/ (전자우편 계정과 비밀번호 훔침) △중국이동통신(China Mobile)을 가장한 http://10086kze.com/ (적립포인트의 현금 교환을 미끼로 카드 번호와 비밀번호 빼냄) △페이스북(Facebook)으로 위장한 http://sumeyemozlen.blogcu.com/ (전자우편 계정과 비밀번호 편취) △중국건설은행을 사칭한 http://wap.ccdahks.com/index.asp (카드 번호와 비밀번호 훔침) △온라인 금융결제 사이트 페이팔(Paypal)로 속인 http://mallareddy.org/newpp/ (전자우편 계정과 비밀번호 편취) 순으로 지목됐다.

이어 7일 중국 누리꾼을 많이 괴롭힌 피싱 사이트들은 △아웃룩(Outlook) 전자우편을 가장한 http://nuillxxx.com/fg/ (계정과 비밀번호 편취) △이베이(eBay) 전자우편으로 속인 http://campoalto.mx/w/ (계정과 비밀번호 훔침) △온라인 쇼핑으로 위장한 http://bxcnzh.com/ (허위 S/W 정보로 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 www.ccbbof.com/index.asp △가짜 Gmail전자우편 http://watsonspestcontrol.com.au/loss/drpbxx/drpbxx/ 등 차례였다.

단오절 연휴가 낀 8일~11일 나흘 동안에는 △텅쉰(Tencent)의 온라인게임으로 위장한 http://dnf288.com/ (허위 S/W 정보로 계정과 비밀번호 편취) △Apple ID메일을 가장한 http://meci.euc.ac.cy/ID-Mac/?ID=login (메일 계정과 비밀번호 훔침) △가짜 페이스북(Facebook) 전자우편류 http://isupportthee.tk/ (계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wap.terccb.cc/ △Gmail전자우편으로 속인 http://medhealth.com.pl/finance/NewUser/Login/sign-in/ 순으로 누리꾼들을 많이 공격했다.

휴일인 12일 대표적인 피싱 사이트들은 △가짜 온라인 쇼핑 사이트 www.xyhot.net/ (허위 구매 정보로 사용자 금전 편취) △Paypal 전자우편을 가장한 http://w39ysg1zmdjma.u6chxiipx0w.217uj3928pzwzzf3lwm.com.ve/cgi-bin/ △Facebook메일로 위장한 http://azgist.com/fb/mobile.html △중국건설은행을 사칭한 http://wap.ccivet.com/ △허위 Gmail 전자우편류 http://hotelcarillon.com.br/images/galerias/sby/index.php 순으로 꼽혔다.

한편 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 6일 3,053개, 7일 1,231개, 단오절 연휴가 낀 8일~11일 6,566개, 휴일인 12일 3,115개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 6일 연인원 4,508명, 7일 3,207명, 8일~11일 1만7,503명, 12일 연 4,663명에 달했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>