‘Trojan.HijcLpk!1.9987’, 8월 마지막 주~9월 첫째 주 84만대 PC 감염 피해
中 ‘피싱 사이트 톱5’…중국과 해외 유명 웹사이트로 위장[보안뉴스 온기홍= 중국 베이징] 중국에서 지난달 트로이목마류 바이러스에 감염된 컴퓨터가 170만 대에 달한 데 이어 이달 들어 72만대를 넘어선 것으로 드러났다.

중국 정보보안업체 루이싱정보기술은 보안시스템을 써서 조사한 결과, 트로이목마류 ‘Trojan.Injector!1.AB3F’가 9월 둘째 주(11일~17일) 중국에서 기승을 부린 가운데 17일 현재 30만 4,488대의 PC를 감염시킨 것을 확인했다고 밝혔다.

‘Trojan.Injector!1.AB3F’는 컴퓨터상에서 파일 폴더로 위장해 컴퓨터 사용자를 속여 클릭하도록 유도하며, 컴퓨터 부팅과 함께 바이러스가 자동으로 활성화하도록 설정한다. 아울러 PC에 설치된 정상적인 소프트웨어들이 실행되지 못하게 만든다. 이 바이러스에 대한 경계 등급은 별 다섯 개 가운데 네 개다.

또 다른 트로이목마류 ‘Trojan.HijcLpk!1.9987’은 9월 첫째 주(3일~10일) 중국에서 확산돼 지난 10일까지 42만 2,433대의 컴퓨터를 감염시킨 것으로 확인됐다고 이 회사는 밝혔다.

‘Trojan.HijcLpk!1.9987’은 PC에 ‘lpk.dll’ 파일을 만들고 압축 파일을 검색하며, ‘lpk’를 압축 파일 안에 추가한다. 또 숨김 설정을 하고 다른 디렉터리에 자기 복제를 하며, 시스템 파일로 위장한다. 이로써 ‘lpk’ 하이재킹의 목적을 이루며, 시스템 안전을 해친다고 이 회사는 설명했다.

‘HijcLpk!1’은 브라우저 하이재킹 후 PC를 네트워크에 연결시켜 많은 악성 스크립트를 내려 받으며, 이로써 시스템 성능을 떨어뜨리고 개인정보를 훔치는 것으로 밝혀졌다. 이 ‘HijcLpk!1’에 대한 경계 등급으로 별 다섯 개 가운데 네 개가 매겨졌다.

중국에서 PC를 공격한 대표적인 바이러스를 일자 별로 살펴보면, 먼저 주말 휴일이 낀 9월 1일~3일에는 ‘Trojan.Win32.BHO.hex’(연인원 32만 5,158명 신고), 4일 ‘Trojan.Win32.BHO.hdz’(연 1만 4,231명 신고), 5일 ‘Trojan.Win32.BHO.hex’(연 11만 2,531명 신고), 6일에는 웜(worm)류 바이러스 ‘Worm.Win32.ECode.fw’(연 2만 8,423명 신고), 7일 ‘Worm.Win32.ECode.fw’(연 2만 8,423명 신고), 8일~10일 ‘Trojan.Win32.BHO.hdz’(연 9만 3,043명 신고)가 꼽혔다.

이어 9월 둘째 주 들어 11일에는 ‘Trojan.Win32.Fednu.diu’(연 2만 6,477명 신고), 12일 ‘Worm.Script.VBS.Agent.z’(연 2만 6,591명 신고), 13일 ‘Worm.Win32.ECode.fw’(연 2만8,423명 신고), 14일 ‘Trojan.Win32.BHO.hdz’(연 16만 6,374명 신고), 15일~17일에는 ‘Trojan.Win32.BHO.hdz’(연 3만9 ,472명 신고)가 지목됐다.

이 바이러스들은 PC에서 백신프로그램을 찾아낸 뒤 실행을 중지시킨다. 또 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 바이러스가 활동을 개시하도록 만든다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고, 대량의 네트워크 자원을 점용한다. 이 때문에 네트워크 속도가 떨어지는 현상 따위가 일어난다.

인터넷뱅킹 비밀번호 및 돈 빼내는 피싱 사이트들 활개
이 회사는 보안시스템을 써서 중국에서 9월 둘째 주 1만 6,941개, 첫째 주(4일~10일) 1만 3,896개의 피싱 사이트를 각각 찾아냈다고 밝혔다. 피싱 사이트의 공격을 받은 중국 누리꾼은 지난 주 10만 명, 첫째 주 4만 명 안팎이었다.

9월 들어 일별로 피싱 사이트의 공격을 받은 누리꾼 수를 보면, 9월 1일~3일 사흘 동안 연인원 5만 2,571명, 4일 연 1만 2,223명, 5일 연 1만 2,271명, 6일 연 1만 3,234명, 7일 연 1만 3,234명, 8일~10일 연 5만 7,632명으로 집계됐다고 이 회사는 밝혔다.

9월 둘째 주에는 11일 1만 6,125명(연인원), 12일 2만 2,360명, 13일 1만 3,521명, 14일 2만 1,155명, 15일~17일 1만 2,286명이 피싱 사이트의 공격을 겪었다.

루이싱정보기술이 보안 시스템을 써서 찾아낸 피싱 웹 주소 수량을 보면, 9월 1일~3일 1만1,776개, 4일 8만 2,110개, 5일에는 9,224개로 줄었고, 6일 4,086개, 7일 4,086개, 8일~10일 1만 5,641개였다. 지난주에는 11일 4,073개, 12일 4,031개, 13일 4,086개, 14일 5,466개, 15일~17일 1,226개로 집계됐다.

중국 누리꾼들의 인터넷 사이트와 전자우편 등의 계정·비밀번호와 금전을 노린 대표적인 피싱 사이트 ‘톱5’를 보면, 9월 둘째 주에는 △온라인 쇼핑인 것처럼 속인 http://fxdoctor.cn/ △페이스북(Facebook)을 가장한 http://confirm-ads-notification.com/pages/recovery-chekpoint-login.html
△중국 인기 TV 오락 프로그램 ‘중국 신가성 주관 당첨으로 속인 http://xsyherbw.cc
△애플(Apple) ID로 위장한 https://apple-scam.tk/Login.php
△지메일(Gmail)로 속인 http://journal.jltl.org/pages/payment/aloma/812f41dad71ecc5356d308485f9f80f4/ 순으로 꼽혔다.

9월 첫째 주(3일~10일)에는 △중국 최대 전자상거래 회사 알리바바(Alibaba)를 가장한 http://mariellejensen.se/upload/alibaba/Online/Login.htm?email=abc@example.com
△Facebook으로 속인 https://yeomanly-company.000webhostapp.com/recovery-chekpoint-login.htm △온라인 금융결제 사이트 페이팔(Paypal)로 위장한 http://ashdiasndasd052654d5a.com/signin
△중국 텅쉰(Tencent) 온라인게임을 가장한 http://www.dnfcaiqi.com/index.html
△가짜 지메일(Gmail)류http://smansaduri.sch.id/nz/Yah/T/Y1.html
이 피싱 사이트 톱5 안에 들었다.

중국과 외국 유명 SNS·포털·쇼핑사이트·은행·게임으로 위장한 피싱 사이트 기승
9월 첫째 주와 둘째 주 일간 피싱 사이트 ‘톱5’ 가운데 외국계 유명 웹사이트를 가장한 웹사이트를 보면, △Facebook을 가장한 https://network-support-inc.000webhostapp.com/HELP/upgrade-creditcard.htm, https://juliofernandeez22.000webhostapp.com/recovery-chekpoint-login.html, http://confirm-ads-admin-support.com/confirm/recovery-chekpoint-login.html, https://sigout77.000webhostapp.com/recovery-chekpoint-login.html, https://jadijadi00hh.000webhostapp.com/recovery-chekpoint-login.html, https://yeomanly-company.000webhostapp.com/recovery-chekpoint-login.html, https://fb-help-info-us.000webhostapp.com/ref/inc/index.php, http://include.service.eassy-field-follow.com/recovery-answer.html, http://second.long.cecurec-stand.com/Payment-update-01.html, https://kbolu306.000webhostapp.com/public/revery/revery/card.html, http://confirm-ads-notification.com/pages/recovery-chekpoint-login.html (신용카드 계정과 비밀번호 빼냄) △가짜 Paypal류 www.chrisanton.de/Secrity-Acounnt-PayPal/account-limited/get_started/, http://brenobarreto.com/secure.paypals.com.update.your.accounts, www.elnas.com.ua/confirm/, www.shopexpress24.com/media/background/default/, http://locking.recovery.blocking-app-center.net/Payment-update-01.html, http://ashdiasndasd052654d5a.com/signin, http://www.eastwesthealingcenter.net/copy/stats/Alert-cas6e99dd/Case-Id/, http://www.thugbusters.com/contact/ (계정과 비밀번호 노림) 등이 활개를 쳤다.
또 △허위 Gmail류 http://pasoconcre.com/created_it/it_it_it/eba9bb8203f5f1c0bd39e18a576447c5/, www.importantinformations.com.ng/info8/dropbox%20sign/dropbox/view/, https://nepaldirectory.cf/cm/, http://yaguarxoo.com.mx/doc7r6r/data/index.htm, http://smansaduri.sch.id/nz/Yah/T/Y1.html, http://re-electshadqadri.com/wordpress/, http://baniqia-pharma.com/dropbox/Google_docs/, http://jigolo.org.mancfund.com/formfro/index.htm, http://maartaprilmei.nl/yh/, http://journal.jltl.org/pages/payment/aloma/812f41dad71ecc5356d308485f9f80f4/ (메일 계정과 비밀번호 빼냄) △가짜 Adobe ID류 http://iphone7colors.com/file/index/827f29fabbd6a7679ba6850cc467e3e6/, https://lcloud-login.us/index2.php?id=677, www.sitemkacincisirada.com/adobeCom/185e72afcfba726c89bb2851cc0fed43/, http://creaktivarte.com/en/log/apple/login.php, http://radiopachuk.net/contract/adobeCooom/inc/index.php, http://teorlogico.com.br/wp-includes/images/crystal/adb/
(메일 계정과 비밀번호 훔침) △가짜 Apple ID류 https://support.apple.com-z29nb2dvihbvd2vyihjhbmdlcg-itunes.store/, http://www.freedum.in/vastuindex/fib/fib/finaly/, https://apple-scam.tk/Login.php (메일 계정과 비밀번호 빼냄) 등이 누리꾼들을 노렸다.
이밖에 △아마존 사이트를 가장한 http://rubybuilders.com/AmazonSignIn.html
(계정과 비밀번호 훔침) △야후(Yahoo)로 위장한 www.ashinasir.com/genius/oohay.php
(메일 계정과 비밀번호 훔침), △이베이(ebay)로 위장한 https://anekakain.co.id/ebyebay/ebay.de/Einloggen-oder-neu-anmelden-eBay.htm
(메일 계정과 비밀번호 훔침) 등이 일간 피싱 사이트 톱5에 지목됐다.

이어 중국 내 유명 웹사이트들을 위장한 일간 피싱 사이트 ‘톱5’에는 △텅쉰의 온라인게임을 가장한 www.dnf-baotu.com/, www.dnfshenyang.com/, www.dnfcaiqi.com/index.html, http://www.dnf-jiujian.com/, http://www.dnffengxing.com/, http://www.zgline.cn/
(허위 S/W 정보로 계정과 비밀번호 훔침) △알리바바(Alibaba)를 가장한 http://palabrasdeesperanza.org/components/com_easyblog/alibaba, http://mariellejensen.se/upload/alibaba/Online/Login.htm?email=abc@example.com (메일 계정과 비밀번호 훔침) △중국공상은행을 사칭한 http://wap.cbc95533.com/cn/
(카드번호와 비밀번호 절취) △중국건설은행을 사칭한 http://wap.ccbxp.com
(카드번호와 비밀번호 편취) △텅쉰의 보안솔루션으로 위장한 http://xgqqaj.com/index.php
(허위 보안 로그인 정보로 계정과 비밀번호 절취) △중국이동통신(China Mobile) 고객서비스 대표번호로 위장한 http://l0086feup.com/
(적립포인트의 현금교환을 미끼로 카드번호와 비밀번호 훔침) △온라인 쇼핑 사이트로 속인 http://fxdoctor.cn/
(허위 쇼핑 정보로 금전 편취) △중국 TV 오락 프로그램 ‘중국 신가성’ 주관 당첨으로 속인 http://xsyherbw.cc
 (허위 당첨 정보로 송금 유도) 등이 포함됐다.

한편, 이 회사가 보안 시스템을 써서 모니터링하고 누리꾼들의 신고를 받은 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 9월 1일~3일 32만 2,421명(연인원), 4일 연 13만 8,762명, 5일 연 12만 3,724명, 6일 연 14만 3,531명, 7일 연 14만 3,431명, 8일~10일 연 23만 2,434명이었다.

9월 둘째 주에는 11일 8만 9,143명(연인원), 12일 12만 3,817명, 13일 12만 3,531명, 14일 13만 6,260명, 15일~18일 1만 3,984명으로 파악됐다.

중국에서 트로이목마가 투입된 웹주소는 9월 1일~3일 5,993개, 4일 42만 1,912개, 5일 42만 3,429개, 6일 1만 3,493개, 7일 1만 1,193개, 8일~10일 9만 2,207개였다. 지난주에는 11일 10만 2,016개, 12일 15만 1,416개, 13일 1만 3,493개, 14일 2,198개, 15일~18일 7,952개로 확인됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]