‘Worm.Win32.Agent.yzs’, PC 레지스트리 키 수정하고 정보 훔쳐
‘Trojan.Win32.Fednu.diu’, 2주 연속 기승
지난 주 中 보안업체 피싱 사이트 8,800여개 탐지...4만명 공격

[보안뉴스 온기홍= 중국 베이징] 중국에서 최근 레지스트리 키(key)를 수정하고 중요한 정보들을 빼내는 ‘Agent’란 이름이 붙은 새 웜(Worm) 바이러스가 8,300여 대의 PC를 감염시킨 것으로 드러났다. 또한 지난 주(7월 11일~17일) 중국에서 정보보안업체가 찾아낸 피싱 사이트는 8,800개에 달했으며, 4만명이 피싱 사이트의 공격을 받은 것으로 나타났다.

中 지난 주 ‘Worm.Win32.Agent.yzs’에 PC 8,300여대 감염 피해
중국 정보보안회사인 루이싱정보기술은 지난 주 보안 시스템을 써서 모니터링하고 PC 사용자들로부터 받은 신고 내용을 종합한 결과, 이 기간 정보보안 업계와 누리꾼들의 주목을 많이 받은 바이러스는 ‘Worm.Win32.Agent.yzs’라고 밝혔다.

이 웜 바이러스는 컴퓨터 내 시스템 핵심 디렉터리 아래 위장된 자신의 복사본을 투입하고 시스템 핵심 프로그램으로 이름을 만든다고 이 회사는 설명했다. 그 뒤 자동 개시 추가 방식으로 컴퓨터에 침입한다. 이어 컴퓨터 사용자의 다운로드, 웹페이지 내 트로이목마 삽입, 온라인 메신저 프로그램 전파 등의 경로로 투입한 자신의 복사본을 통해 시스템을 교차 감염시킨다.


이로 인해 컴퓨터 내 중요한 정보들이 도난당할 위험에 놓이게 된다. 이 ‘Worm.Win32.Agent.yzs에 대한 경계 등급으로 별 다섯 개 중 네 개가 매겨졌다. 특히, 이 ‘Worm.Win32.Agent.yzs’는 이달 8일 현재 중국에서 8,309대의 PC를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다.

지난 주 날짜 별로 중국 내 PC 사용자들을 공격한 대표적인 바이러스들을 보면, 7월 11일에는 ‘Trojan.PSW.Win32.QQPass.fll’가 꼽혔다. 이 회사가 ‘클라우드 보안’ 시스템을 통해 연 인원 2만7,337명으로부터 신고를 받았다. 이 바이러스는 컴퓨터에 깔린 유명 안티바이러스 프로그램을 찾아내어 그 실행을 중지시킨다.

동시에 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 또한, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 웹주소의 트래픽을 늘리면서 대량의 네트워크 자원을 점용한다. 이 때문에 네트워크가 막히는 현상 등이 일어날 수 있다고 이 회사는 설명했다.

이어 12일 중국을 휩쓴 대표적인 바이러스에는 ‘Trojan.Win32.Fednu.diu’(연인원 2만7,799명 신고)가 지목됐으며, 13일에는 ‘Trojan.Win32.BHO.gdz’(연 2만5,757명 신고), 14일 ‘Trojan.Win32.Fednu.diu’(연 2만2,474명 신고), 주말 휴일이 낀 15일~17일 사흘 동안에는 ‘Trojan.Win32.Fednu.diu’(연 8만7,744명 신고)가 중국에서 널리 퍼진 대표적인 바이러스에 각각 꼽혔다. 이들 바이러스들도 ‘Trojan.PSW.Win32.QQPass.fll’과 유사한 악성 활동을 하고 피해를 일으키는 것으로 드러났다. 특히 이 가운데 ‘Trojan.Win32.Fednu.diu’는 지난 8일~10일 주말 사흘 동안에 이어 지난 주 12일과 14일, 15~17일 등 닷새 동안이나 중국에서 크게 번져 PC 사용자들을 공격했다.

中 지난 주 피싱 사이트 8,800여개 탐지...4만명 공격 받아
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국에서 8,832개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전에 비해 1,000개 가량 줄었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 한 주 전과 비슷한 4만명에 달했다.

날짜 별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 7월 11일에는 연인원 5,388명, 12일 5,709명, 13일에는 5,196명, 14일 4,282명, 주말 휴일이 들었던 15일~17일 사흘 동안 연인원 1만590명에 달했다. 루이싱정보기술이 탐지한 피싱 웹주소는 11일 1,889개, 12일 1,183개, 13일 1,575개, 14일 1,901개, 15일~17일 사흘 간 3,040개로 크게 늘었다.

이런 가운데 지난 주 중국에서는 중국건설은행을 사칭한 http://www.ccbdin.cc/, 애플(Apple ID) 전자우편을 가장한 http://etspir-mtuci.ru/components/com_poll/, 야후(Yahoo) 메일로 위장한 http://instalikes-mix.tk/html/JEFF%20JAY%20NEW%20YAHOO/ 등 피싱 사이트들이 누리꾼들의 전자우편 계정과 비밀번호, 금융 카드 번호·비밀번호를 몰래 훔쳐서 개인 정보와 금전에 대한 편취를 진행했다.


날짜 별로 중국에서 많은 누리꾼을 공격한 피싱 사이트 ‘톱5’를 보면, 먼저 11일에는 △Apple ID메일을 가장한 www.parspouyan.ir/S.A/bill.php (카드 번호와 비밀번호 편취) △가짜 페이스북(Facebook) 전자우편류 www.mmasboy.gq/ame/facebook/ (계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://wap.bjccdzk.cc/ (카드 번호와 비밀번호 빼냄) △온라인 금융결제 사이트 페이팔(Paypal) 전자우편으로 위장한 www.ameluxe.com/pp/pp/date/websc-bank.php (계정과 비밀번호 훔침) △가짜 Yahoo메일류 www.datazohipico.com.ve/avast1/ (계정과 비밀번호 훔침) 순으로 꼽혔다.

이어 12일 누리꾼을 많이 공격한 피싱 사이트 톱5는 △중국 최대 전자상거래 회사 알리바바(Alibaba) 전자우편을 가장한 http://vcirnentos.com/work/top/allbab/mad/alibaba/index.php (계정과 비밀번호 훔침)
△텅쉰(Tencent) 온라인 게임으로 속인 www.dnffuzhu.cn/ (허위 S/W 정보로 계정과 비밀번호 훔침) △중국건설은행을 사칭한 http://ccbtvt.cc/ △가짜 Paypal전자우편류 www.bangalorehospitals.net/webscr2.paypal-mylogin1/ △허위 지메일(Gmail) 전자우편류 www.iservicesusallc.com/dropboxfinance/ (계정과 비밀번호 훔침) 차례였다.

지난 13일에는 △가짜 Paypal 전자우편류 https://www.duwheels.com/update/confirm/ △허위 온라인 구매(쇼핑)류 http://cykkj.com/ (허위 쇼핑 정보로 금전 편취) △중국건설은행을 사칭한 http://wap.gdccdaw.cc/ △허위 Apple ID전자우편류 www.mycuenca.com/lag/a919f432648fb9869e1b12f4a80b7981 △Gmail전자우편류 http://pecaimports.com.br/drop/Dropbox 순으로 누리꾼들을 많이 공격했다.

14일 피싱 사이트 톱5는 △허위 Paypal전자우편류 http://paypal.com.step01.one/login.php?s=VWxyaWtlIE1laWVy △텅쉰의 온라인 게임을 가장한 www.dnferpao.com/index.html △중국건설은행을 사칭한 http://wap.sjzccdw.cc/ △가짜 Apple ID전자우편류 http://quecharme.com.br/ap/?ID=login △허위 yahoo 메일류www.bsa452.org/old/rogersmain/jpg/yahoo/ 순이었다.

주말 휴일이 든 15일~17일에는 △Paypal 전자우편으로 속인 www.antichepagine.com/_notes/den/doc/ △가짜 Apple ID전자우편류 http://verify-group.su/apple/global/ △중국건설은행을 사칭한 www.ccbna.cc/ △텅쉰의 온라인 게임을 가장한 www.dnffuzhu.cn/ △가짜 Gmail전자우편류http://williamquilas.com/Arch/Arch/Archive/ 등 차례로 피싱 사이트 톱5 안에 들었다.

한편, 루이싱정보기술의 보안 시스템이 탐지한 중국 내 트로이목마 투입 웹주소는 7월 11일 2,017개, 12일 1,617개, 13일 2,027개, 14일 1,617개, 주말 휴일이 든 15일~17일 2,547개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 11일 연인원 3,007명, 12일 연 4,342명, 13일 연 3,036명, 14일 연 4,940명, 15일~17일 연 9,873명에 달했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>