투씨에스지 기술 블로그

中 11월 첫째주 바이러스·피싱사이트 TOP 10 본문

Issue/보안 이슈

中 11월 첫째주 바이러스·피싱사이트 TOP 10

TOCSG 2014.11.17 09:53
컴퓨터와 사용자 중요 정보 수집하는 바이러스 활개


[보 안뉴스 온기홍=중국 베이징] 중국에서 11월 첫째 주 약 2만4,800개의 피싱 사이트가 발견됐으며, 11만 명의 누리꾼들이 피싱 사이트의 공격을 받았던 것으로 나타났다. 또 이 기간 음악 파일로 위장해 사용자를 속여 컴퓨터에 설치된 뒤 백그라운드에서 해커가 지정한 웹주소에 연결한 뒤 컴퓨터 안의 중요 정보들을 수집해 해커에 보내는 트로이목마 바이러스가 활개를 쳣다.


中 11월 첫째 주 컴퓨터 바이러스 ‘Top 10’

중국 정보보안서비스 회사인 루이싱은 자체 ‘클라우드 보안’ 시스템을 써서 11월 3일부터 9일까지 찾아낸 중국내 컴퓨터 바이러스 가운데 차단비율을 기준으로 ‘Top10’을 뽑아 발표했다.

지 난 주 컴퓨터 바이러스 톱10에는


△Trojan.Win32.FakeUsp

△Hack.Exploit.Script.JS.Bucode

△RootKit.Win32.ObscureU

△Hack.Exploit.Win32.MS08-067

△Trojan.Win32.Generic

△Backdoor.Win32.RemotePC

△Worm.Win32.MS08-067

△Trojan.Win32.FakeLPK

△RootKit.Win32.Agent

△Packer.Win32.UnkPacker


등의 순으로 나타났다.

▲ 중국 루이싱이 차단 횟수 기준으로 뽑은 ‘11월 3일~9일 중국내 컴퓨터 바이러스 Top10


11월 첫째 주 주요 컴퓨터 바이러스와 특징

11월 첫째 주 중국 내륙에서 활개를 친 대표적 바이러스는 ‘Trojan.Win32.Generic.175B8BA6’ 였다. 이 바이러스는 음악 파일로 사용자를 속여 컴퓨터에 내려 받게 한다.

이 어 컴퓨터에 실행 프로그램 ‘svchost.exe’를 만들고, 여기에 코드를 주입한다. 또 이 바이러스는 자신을 컴퓨터가 시작하면 자동 활동 개시할 수 있도록 설정한다. 그리고 백그라운드에서 컴퓨터를 해커가 지정해 놓은 웹주소에 연결시키고, 컴퓨터 안의 중요한 정보들을 수집해 해커에게 전송한다.

컴퓨터가 이 바이러스에 감염되면, 사용자는 중요한 개인 정보의 유출과 인터넷 계정ㆍ비밀번호 도난 같은 위험에 놓이게 된다. 루이싱은 이 바이러스 ‘Generic’에 대한 위험 등급으로 별 다섯 개 중 세 개를 매겼다.

지 난 3일 중국에서 가장 두드러지게 활동한 대표적인 바이러스는 ‘Backdoor.Win32.DarkWhite.a’다.  루이싱의 ‘클라우드 보안’ 시스템은 누리꾼들로부터 연 2만5,130회에 걸쳐 이 백도어 바이러스에 대한 신고를 접수했다.

이 백도어 바이러스는 게임 설치 패키지로 위장해 사용자를 속여 설치된다. 설치 프로그램을 이용해 악성 ‘dll’ 파일을 추가하고, 이 ‘dll’ 파일을 통해 정규의 디지털 서명을 보유한 다른 악성 프로그램을 실행시킨다. 이어 백그라운드에서 컴퓨터를 원격 서버에 연결해, 컴퓨터 안의 정보들을 전송한다.

4일 중국에서 활개를 친 대표적인 바이러스는 ‘Worm.Script.VBS.Agent.ce’. 연 2만5,526명이 신고한 이 웜 바이러스는 컴퓨터 안의 바이러스퇴치 프로그램을 찾아내어 실행을 중지시킨다.

동 시에 컴퓨터의 레지스트리를 수정해, 자신을 컴퓨터 시작과 함께 실행할 수 있게 한다. 이 바이러스는 또 백그라운드에서 컴퓨터를 해커가 정한 웹주소에 연결시키고, 악성 웹주소를 위해 트래픽을 늘리면서 네트워크 자원을 대량 점용한다. 컴퓨터가 이 바이러스에 감염되면 네트워크가 느려지는 현상이 나타난다.

5일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Trojan.Win32.FakeSoft.a’로, 연 2만5,044명이 신고했다. 이 바이러스는 중국 내 유명한 자동 금액 충전 시스템으로 위장해 사용자를 속여 컴퓨터에 설치하게 한다. 이어 정상적 소프트웨어를 사용한 디지털 서명을 통해 바이러스 퇴치 프로그램의 탐지·퇴치를 피한다.

또 레지스트리를 고쳐서 컴퓨터 시작과 함께 자동으로 바이러스 활동을 할 수 있게 한다. 아울러 컴퓨터를 해커가 지정해 놓은 서버에 연결해 시스템 정보를 전송하며, 해커의 추가 명령을 받는다.

6 일에는 ‘Trojan.Win32.Marko.a’가 크게 활동했다. 연 2만4,940명이 신고한 이 바이러스는 해커가 좀비 네트워크를 만드는 툴로 쓰인다. 여러 단계에서 바이러스 코드 실행을 통해 바이러스 퇴치 프로그램의 탐지를 피하며,  ‘%systemroot%\system32\wuauclt.exe’를 만든다.

이어 백그라운드에서 컴퓨터를 해커가 지정한 서버에 연결시키고 컴퓨터 정보를 전송한다. 동시에 원격 서버가 보내는 명령을 받으면서 컴퓨터를 완전히 해커의 통제 아래 놓이게 한다. 컴퓨터가 이 바이러스에 감염되면, 중요 정보의 유출과 인터넷 계정·비밀번호 도난의 위험에 처하게 된다.

지 난 7일부터 9일까지 주말이 포함된 사흘 동안 중국에서 널리 활동한 대표적인 바이러스는 ‘Trojan.Win32.QQPass.ajt’ 였다. 연 2만5,203명이 이를 루이싱 쪽에 신고했다. 이 바이러스는 컴퓨터에 실행되는 중국 최대 메신저 프로그램 ‘QQ’를 설치하는 동시에 로그인 창을 위조하며, ‘QQ’ 계정과 비밀번호를 다시 입력하라고 요구한다. 이용자가 이를 따르면, QQ 계정 정보는 해커가 지정한 서버로 발송된다. 이로 인해 컴퓨터 이용자는 ‘QQ” 계정을 도난당하고, 중요 정보도 유출될 위험에 놓인다.

▲ 11월 3일~9일 중국에서 널리 퍼진 컴퓨터 바이러스(출처: 중국 루이싱)


11월 첫째주 주요 피싱사이트

루이싱의 ‘클라우드 보안’ 시스템이 11월 첫째 주 탐지한 피싱 사이트는 2만4,728개에 달했다. 한 주 전에 비해 800개 가량 줄었다. 또 누리꾼 11만명이 피싱 사이트의 공격을 받았은 것으로 드러났다.

특히 중국에서 유명 온라인 쇼핑몰과 TV 프로그램, 은행 등을 사칭한 피싱 사이트들이 바이러스나 트로이목마를 내장하고서 누리꾼들을 공격했다.

지 난 한 주 동안 활개를 친 피싱 사이트로는 △중국판 TV 오락 프로그램 ‘아빠 어디가’를 사칭한 http://bbqno.com △허위 온라인 구매류 http://mp.caixiadianzi.com/t0807/i-5-s △허위 의약류 http://quba8.com 등이 지목됐다.

일별 피싱 사이트 발생 상황을 보면, 지난 3일에는 웹페이지에 숨은 트로이목마들로부터 공격을 받은 누리꾼이 연 1만8,771명에 달했다. 루이싱은 1만726개의 트로이목마 삽입 웹주소를 탐지했다. 또 트로이목마의 공격을 받은 누리꾼은 연 1만4,607명에 달했고, 루이싱 쪽은 5,106개의 피싱 웹주소를 찾아냈다.

루 이싱이 꼽은 3일 피싱 사이트 ‘톱5’는 △중국 최대 온라인 쇼핑몰 타오바오(taobao)를 가장한 http://hembamc.com/xdrf/refdd/tbskn.asp(허위 환불 정보로 사용자의 계정과 비밀번호 훔침) △허위 온라인 구매류 http://fa.genwopin.com.cn(허위 구매 정보로 사용자의 금전 편취) △허위 의약류 http://www.xinbake315.com/ (허위 의약 정보로 사용자를 송금하도록 유도) △중국 텅쉰이 제공하는 게임을 위장한 http://www.cf17173.com/vip/(사용자의 계정과 계좌번호 정보 훔침) △중국공상은행을 사칭한 http://icbclm.194.wendns.net/indec.html(사용자 은행 카드번호와 비밀번호 훔침) 이었다.

이들 피싱 사이트에는 바이러스나 트로이목마가 숨어 있기 때문에 누리꾼은 클릭해서는 안 된다고 보안 전문가들은 강조했다.

지 난 4일에는 연 2만3,012명이 웹페이지가 들어있는 트로이목마의 공격을 받았고, 루이싱은 1만2,141개의 트로이목마 삽입 웹페이지를 찾아냈다. 이와 함께 누리꾼 연 2만1,567명이 피싱 사이트에 직면했고, 루이싱이 차단한 피싱 웹주소는 6,419개였다.

이날 피싱 사이트 톱5는 △가짜 타오바오류 http://hfzkfah.tk/taobao_com/refund.html △가짜 온라인 구매류 http://lw.genwopin.com.cn △허위 의약류 www.qbduo.com
△중국판 TV 오락 프로그램 ‘아빠 어디가’를 사칭한 www.bbtlsxx.com(허위 당첨 정보로 사용자를 송금하도록 유도) △중국공상은행을 사칭한 http://202.66.150.207/ 등이었다.

이 어 11월 5일에는 연인원 1만9,392명이 웹페이지내 트로이목마의 공격을 경험했고, 루이싱 쪽은 1만1,782개의 트로이목마 삽입 웹페이지를 발견했다. 아울러 피싱 사이트는 연인원 1만5,900명을 공격했으며, 루이싱은 5,871개의 피싱 웹주소를 찾아냈다.

이날 피싱 사이트 톱5에는 △가짜 타오바오류 http://fxwaxog.com/web/company.asp?lx=pc △가짜 온라인 구매류 http://wm-sales.ycglhn.com △가짜 의약류 www.dieyifang.org △’아빠 어디가’로 가장한 www.hnbbrfv2.com △중국공상은행을 사칭한 http://216.218.197.201 등이 뽑혔다.

지난 6일에는 웹페이지에 들어 있는 트로이목마가 연 2만680명을 공격했고 루이싱은 1만658개의 트로이목마 내장 웹주소를 탐지했다. 이어 연 1만5,604명이 피싱 사이트의 공격을 경험했고, 루이싱은 4,538개의 피싱 웹주소를 발견했다.

6일 뽑힌 피싱 사이트 톱5는 △구글(Google)로 위장한 http://irarobotics.com/pol(사용자의 계정과 비밀번호 훔침) △허위 온라인 구매류 www.hk-daigou.com △허위 의약류 www.gxtata.com △텅쉰을 사칭한 www.war666.cn/plus/vvv.html?tn=zRWks498 △중국건설은행을 사칭한 http://wap.95533sdf.com/cn(사용자의 은행 카드 번호와 비밀번호 훔침) 등이었다.

주말이 들었던 7~9일 사흘 동안에는 연 5만8,000명의 누리꾼이 웹페이지에 숨은 트로이목마의 공격을 받았다. 루이싱의 ‘클라우드 보안’ 시스템은 3만1,955개의 트로이목마 삽입 웹주소를 찾아냈다. 또 피싱 사이트들이 연 4만2,245명의 누리꾼을 공격했고, 루이싱 쪽은 1만2,604개의 피싱 웹주소를 탐지했다.

11월 7~9일 피싱 사이트 톱5에는 △타오바오로 가장한 http://suoytpppw.tk/bbb/bbb/bbb/code(허위 금전 결제 정보로 사용자의 계좌번호와 비밀번호 훔침) △허위 온라인 구매류 http://xw.dlhcgt.cn/ip5s.htm △허위 의약류 http://xueju.aishai365.com △텅쉰을 가장한 http://omgsinjq.tk/?TMONF=82968 △중국공상은행을 사칭한 http://23.107.88.56/ICBCINBSReqGrwsyh.asp 이 뽑혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>


0 Comments
댓글쓰기 폼