‘Trojan.Win32.CoinMiner.c’, PC 리소스 대량 점용·정보 절취·원격 제어
중국이동통신·Paypal·Facebook·Gmail 등 위장한 피싱 사이트 활개

[보안뉴스 온기홍=중국 베이징] 중국에서 최근 PC 리소스를 많이 점용하고 작동을 방해하는 새 트로이목마류 바이러스 ‘Trojan.Win32.CoinMiner.c’가 22만 6,458여 대의 PC를 감염시킨 것으로 확인됐다고 중국 정보보안업체 루이싱정보기술은 밝혔다.

이 바이러스는 컴퓨터의 리소스를 대량 점용해 정상적인 작업에 심각한 영향을 끼친다. 또 해커는 PC 사용자의 정보를 훔치며, 원격으로 PC를 제어하게 된다. 이 ‘Trojan.Win32.CoinMiner.c’에 대한 경계 등급으로는 별 다섯 개 가운데 네 개다.


PC 사용자를 공격한 대표적인 바이러스들을 일자 별로 보면, 먼저 4월 4일에는 ‘Worm.Mail.NetSky.lz’가 꼽혔다. 루이싱정보기술이 보안시스템을 써서 연인원 2만 7,771명으로부터 신고를 받았다.

이어 5일에는 ‘Trojan.Win32.BHO.gdz(연 2만 6,618명 신고)’가 활개를 쳤고, 6일에는 ‘Worm.Script.VBS.Agent.co(연 2만 7,841명 신고)’, 주말 휴일이 들었던 7일~9일 ‘Trojan.Win32.BHO.hdz(연 3만 1,047명 신고)’, 10일에는 ‘Trojan.PSW.Win32.QQPass.fll(연 2만 3,476명 신고)’이 크게 번졌다.

이 바이러스들은 PC에 깔려 있는 바이러스 백신 프로그램을 찾아내고 그 실행을 중지시킨다. 또 PC 레지스트리를 수정하고 컴퓨터 부팅과 함께 바이러스 활동을 자동으로 개시한다. 이어 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키며, 트래픽을 악의적으로 늘리고 대량의 네트워크 리소스를 점용한다. 이 때문에 네트워크 속도가 느려지게 된다.

중국이동통신·Paypal·Facebook·Gmail 등 위장한 피싱 사이트 활개
루이싱정보기술은 3월 27일~4월 2일 중국에서 2만 4,636개의 피싱 사이트를 찾아 냈다고 밝혔다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 10만 명으로 파악됐다. 이어 4월 들어 피싱 사이트의 공격을 받은 중국 누리꾼 수를 일자 별로 보면, 4월 4일 연인원 1만 4,437명, 5일 연 1만 2,237명, 6일 연 1만 3,234명, 7일~9일 연 8,998명, 10일 연 1만 3,214명으로 집계됐다.

이 회사가 탐지한 피싱 웹 주소는 4일 6,383개, 5일 7,183개, 6일 9,183개, 7일~9일 2,161개, 10일 8,983개에 달했다. 이 기간 중국에서 활개를 쳐서 보안업계와 누리꾼들의 주목을 받은 대표적인 피싱 사이트들은 △온라인 금융결제 사이트 페이팔(Paypal)을 가장한 http://sps-eg.com/MafioZo0/get_started/
△중국이동통신(China Mobile)을 사칭한 http://mejf10086.com
△중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://larcachel.com/ △페이스북(Facebook)으로 속인 http://www.recover-pages.com/Department/Payment-update-0.html
△지메일(Gmail) 전자우편으로 위장한 http://rollinghillsroofing.com/login/ 등이었다.


중국에서 일자 별 피싱 사이트 톱5를 보면, 외국 유명 웹사이트인 것처럼 속인 피싱 사이트에는 △가짜 Paypal 사이트류 www.paypal.biddulphpentecostalchurch.org/security/get_started/, http://sps-eg.com/MafioZo0/get_started/, http://vectorworksindia.com/signin/, http://lifefreight.com/tehacherm 
(계정과 비밀번호 훔침) △Facebook을 가장한 www.visaofakebook.info/, www.recover-pages.com/Department/Payment-update-0.html, http://pages-business-scure88.esy.es/recovery-chekpoint-login.html
 
(계정과 비밀번호 빼냄) △가짜 Gmail http://tuarquitectura.com.pe/archivecitymenu/filewordss/index.php, http://rollinghillsroofing.com/login/, www.jamesthreadgill.com/wp-includes/css/cms/GD/, http://ziftechweb.com/css/fud_dropbox/site/, http://j-nissitechnologies.com/css/images/phpp/scan/home/
(계정과 비밀번호 훔침) △가짜 애플(Apple) ID류 http://manage.apple.call2deliver.com/3c524d0626d0412e97a796a6a67f7eb7/login.htm (카드번호와 비밀번호 훔침) △가짜 Adobe 류 http://socialsource.us/file/folder/docs/docs.htm
(카드번호와 비밀번호 빼냄) 등이 꼽혔다.

중국의 유명 포털·통신회사·전자상거래 사이트·은행을 가장한 피싱 사이트들로는 △텅쉰(Tencent)의 온라인게임으로 속인 www.feiji520.com/, www.dnffuzhu888.com/
(허위 S/W 정보로 계정과 비밀번호 편취) △텅쉰 사이트로 위장한 www.demolmin.net/QN/main.php
(계정과 비밀번호 절취) △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨을 가장한 http://disenlun.com, http://larcachel.com/
(허위 당첨 정보로 송금 유도) △중국이동통신의 고객서비스 대표 번호를 내세운 http://mejf10086.com, http://dgy10086.com/, http://10086kiue.com
(적립포인트의 현금교환을 미끼로 카드번호와 비밀번호 빼냄) △온라인 구매(쇼핑)를 가장한 http://c.zhuchenstone.com.cn/
(허위 쇼핑 정보로 금전 절취) △중국건설은행을 사칭한 http://wap.ccbftg.cc
(카드번호와 비밀번호 편취) △중국 전자상거래 회사 알리바바(Alibaba)를 가장한 http://shop.energym.ro/docs/licences/alibaba/alibaba/
(계정과 비밀번호 훔침) 등이 지목됐다.

이 회사가 보안 시스템을 써서 모니터링하고 누리꾼의 신고를 종합한 결과에 따르면, 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼은 4월 4일 연인원 12만 1,523명, 5일 연 9만 1,231명, 6일 11만 3,431명, 주말 연휴가 든 7일~9일 1만 2,403명, 10일 연 12만 3,433명으로 파악됐다.

중국에서 트로이목마가 투입된 웹주소는 4일 82만 3,5222개, 5일 72만 3,531개, 6일 82만 3,521개, 7일~9일 5,321개, 10일 91만 3,531개였다고 이 회사는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>