세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
中 10월 마지막주 PC바이러스·피싱사이트 톱5
  |  입력 : 2015-11-03 09:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“인터넷뱅킹 정보 훔치고 PC 스크린·자판 감시”하는 새 백도어 바이러스 활개
中 보안업체, 피싱 사이트 1만4,900개 탐지...누리꾼 9만명 피해


[보안뉴스 온기홍=중국 베이징] 중국에서 지난 10월 마지막주(10월 26일~11월 1일)에 PC 백그라운드에서 해커가 지정한 웹주소에 연결해 인터넷 뱅킹을 비롯한 사용자의 중요한 정보를 몰래 해커에게 보내고 스크린과 자판을 감시하는 새 백도어(backdoor)가 출현해 누리꾼을 공격한 것으로 나타났다.

지난 한주 중국에서 정보보안업체가 탐지한 피싱 사이트는 약 1만4,900개에 달했으며, 중국 누리꾼 9만 명이 피싱 사이트의 공격에 노출된 것으로 드러났다.

中 10월 26일~ 11월 1일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 한주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Backdoor.Win32.Rbot.gcy’ 였다고 2일 밝혔다. 이 백도어 바이러스는 백그라운드에서 PC를 해커가 지정한 웹주소로 연결하며, 구성 파일을 취한다. 또 사용자의 민감한 정보들을 몰래 훔치고 백그라운드에서 해커의 명령을 받는다. 컴퓨터가 이 바이러스에 감염되면, 사용자의 PC 스크린과 자판은 감시 당하고 중요한 정보들이 유출되며, 인터넷 뱅킹 정보가 도난당하게 된다. 이 회사는 ‘Backdoor.Win32.Rbot.gcy’에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.

▲ 10월 26일~11월 1일 중국내 주요 PC 바이러스(출처:중국 루이싱정보기술)


날짜별로 지난 주 중국에서 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 보면, 먼저 26일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Backdoor.Win32.Depyot.a’. 루이싱은 보안 시스템을 통해 연인원 2만2,510명으로부터 신고를 받았다. 이 백도어 바이러스는 백그라운드에서 PC를 트로이목마가 숨은 웹주소에 연결해 악성 프로그램을 내려 받고, 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 개시한다.

동시에 암호를 풀어 원격제어 프로그램 ‘PoisonIvy RAT’를 얻으며, 원격으로 해커가 지정한 웹주소에 연결한다. PC가 이 웜 바이러스에 감염될 경우 원격제어를 받게 되며, 해커는 맘대로 디스크 상의 데이터를 뒤지고 카메라 등 PC 외부 연결 장치를 제어하게 된다. 이에 따라 사용자의 개인 파일과 비밀 정보도 모두 위험에 놓이게 된다.

지난 27일에는 ‘Worm.Script.VBS.Agent.cd’가 활개를 쳤다. 연 2만2,637명이 신고한 이 웜(worm) 바이러스는 디스크를 조사하고 여러 디렉터리 아래 자신을 복제한다. 또 자신을 컴퓨터 시작과 함께 자동으로 활동할 수 있게 설정한다. 이어 사용자가 txt, chm, reg를 열 때 먼저 바이러스 파일을 실행시키게 하며, PC를 해커가 지정한 웹주소에 연결해 다른 악성 프로그램을 내려 받는다. 이어 28일 중국에서 크게 번진 대표적인 바이러스는 ‘Backdoor.Win32.Fednu.rr’로, 연 2만2,894명이 신고했다.

이 백도어 바이러스는 게임 프로그램을 통해 악성 ‘dll’ 파일인 ‘dunzip32.dll’를 추가한다. 이 파일은 간단한 암호 풀이를 통해 백도어 ‘dll’을 얻으며, 이 ‘dll’을 통해 PC에 세계적으로 유명한 백도어 프로그램을 설치한다고 루이싱은 설명했다. 그 뒤 바이러스는 백그라운드에서 PC를 해커가 미리 정한 웹주소에 연결시키고, PC 바탕화면과 자판, 네트워크 통신 상황과 카메라 등을 감시·제어하며, 해커의 명령에 대기한다. 감염된 PC의 사용자는 중요한 정보 유출과 온라인 사이트 계정, 인터넷 뱅킹 계정·비밀번호 등의 유출 위험에 처하게 된다.

29일에도 백도어 바이러스인 ‘Backdoor.Win32.DarkWhite.a’가 중국에서 활개를 쳤다. 연 2만3,492명이 신고한 이 바이러스는 게임 설치 패키지로 위장해 사용자를 꾀어 내려 받게 한다. 먼저 설치 프로그램을 이용해 악성 ‘dll’ 파일을 추가하며, 이 ‘dll’ 파일을 통해 다른 정규 디지털 서명을 가진 악성 프로그램을 실행한다. 또한 백그라운드에서 PC를 특정 원격 서버에 연결하고, PC 안의 정보를 보낸다.

주말인 10월 30일부터 11월 1일까지 사흘 동안 중국에서 널리 퍼진 대표적인 바이러스는 ‘Worm.Script.VBS.Agent.ce’로 연 2만3017명이 신고했다. 이 웜 바이러스 PC 내 유명 백신 프로그램을 찾아낸 다음 실행을 중지시킨다. 동시에 레지스트리를 수정해 컴퓨터 시작과 자동으로 바이러스 활동을 개시하게 만든다. 또한 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 트래픽을 늘리면서 대량의 네트워크 자원을 점용한다. 이 때문에 네트워크가 꽉 막히는 현상이 일어나게 된다고 루이싱은 설명했다.

中 10월 26일~11월 1일 피싱 사이트 발생 동향
루이싱은 지난 한 주 동안 보안 시스템을 써서 중국 내에서 1만4,882개의 피싱 사이트를 찾아냈다고 밝혔다. 또한 피싱 사이트의 공격을 받은 중국 누리꾼은 9만 명에 달했다. 날짜별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 10월 26일에는 연인원 9,374명, 27일 9,575명, 28일 1만96명, 29일 1만3,500명, 주말이 든 10월 30일~11월 1일에는 연 3만3,279명에 달했다.루이싱이 찾아낸 피싱 웹주소는 26일 2,682개, 27일 1,960개, 28일 2,723개, 29일 3,344개, 30일~1일 6,983개였다.

애플(Apple)을 가장한 http://comforters-it.com/cse/a0/it/, 온라인게임으로 위장한 www.cfyeyu.com/, 온라인 구매(쇼핑)로 속인 www.ywmfgyp.com.cn/ 따위의 피싱 사이트들이 누리꾼을 속이고 인터넷 뱅킹 계정과 비밀번호, 중요한 개인 정보들을 훔쳤다.

날짜 별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 먼저 26일에는 △페이스북(Facebook)으로 위장한 http://ancola.cf/len/ (사용자를 속이고 계정과 비밀번호 훔침) △온라인 게임을 가장한 www.dnf318.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀번호 빼냄) △온라인 구매(쇼핑)으로 가장한 http://n.nqtuan.cn/index.html (허위 구매 정보로 사용자의 금전을 편취) △중국건설은행을 사칭한 http://59.188.240.157/index.asp (사용자를 속이고 카드 번호와 비밀번호 빼냄) △지메일(Gmail)을 가장한 http://jararacaalegre.com.br/admin/nq/wy/mid/hd/ak/index.html (사용자의 계정과 비밀번호 편취) 등 차례로 포함됐다.

지난 27일 중국내 피싱 사이트 ‘톱5’는 △페이스북을 가장한 http://xcessfblikin.gq/wp-fdata/like.php △온라인 게임으로 속인 http://dnf119.com/ △온라인 구매로 위장한 http://wanggou.haogow.cn/tmall2/5s.php?sid=5 △중국건설은행을 사칭한 http://wap.cxzcb.com/index.asp △지메일로 속인 www.jmanstudios.com/plugins/ 등 순이었다.

이어 28일에는 △애플로 속인 http://applgdsxcette.com/h/Signin.php (사용자의 계정과 비밀번호 편취) △허위 의약류인 http://rosewonder.com/ (가짜 의약 정보로 사용자를 속이고 송금 유도) △온라인 구매로 위장한 www.yugdec.net/tmall2/5s.php?sid=5 △중국건설은행을 사칭한 http://wap.cbctt.com/index.asp △페이팔(Paypal)을 가장한 www.shiningstar.com.sa/wp-includes/js/jquery/payca/ (사용자의 계정과 비밀번호 편취) 차례로 피싱 사이트 ‘톱5’에 들었다.

29일 피싱 사이트 ‘톱5’는 △페이팔을 사칭한 http://wnwtechllc.com/update/signin.php △허위 의약류 www.3715111.com/ △허위 온라인 구매류 http://iphone.csscjj.com/tmall4_daigou/5s.php △중국건설은행을 사칭한 www.ccbmou.com//index.asp △야후(Yahoo)로 위장한 http://crossfitutility.com/j75443/verify.php?amp=&bs=&bv=1.0.0 (사용자를 속이고 계정과 비밀번호 훔침) 순이었다.

주말인 10월 30일~11월 1일 사흘 간에는 △페이팔을 가장한 www.hotel-letivoli.ma/~verysign/ △가짜 의약류 http://star.lvshou99.com/Member/FastOrder.html △온라인 구매로 속인 http://kapajt.cn/ △중국건설은행을 사칭한 http://wap.cbctt.com/index.asp △지메일을 가장한 www.imtidad.com/tmp/domainverify/acessLogs/ 등이 중국에서 기승을 부렸다.

이밖에 루이싱의 보안 시스템이 찾아낸 트로이목마 삽입 웹주소는 지난 10월 26일 2,107개, 27일 2,165개, 28일 2,505개, 29일 2,760개, 10월 30일~11월 1일 사흘 동안 6,332개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 26일 연인원 8,004명, 27일 9,411명, 28일 7,282명, 29일 8,685명, 30일~1일 연 2만4,619명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)