악성코드 '고투클릭' 드디어 잡았다!!

얼마전부터 제 블로그를 열면 갑자기 IE브라우저가 작아지면서 이상한 엑티브X를 설치하라는 창으로 바뀌어버리더군요.

정확히 말하자면 어제(10월 26일) 우천시 야구장 관리에 대한 글이 다음 메인에 게시되어 트래픽 폭탄을 맞은 후 부터 입니다.

그때 방문한 트래픽 중 악성 코드를 배포하는 댓글을 통해 어떤 소스가 심어진게 아닌가 싶었습니다.

혹시 PC에 깔려서 그런게 아닌가 싶어 3대의 PC에서 테스트 해보았더니 PC에 상관없이 뜨는 것으로 보아 블로그 댓글 중 소스를 통해 악성코드를 배포하고 있지 않나 싶었습니다.

어제부터 제 블로그를 열면 이런 팝업창으로 뒤바뀌어 버리더군요.

엑티브X 설치를 선택하면 이런 알럿이 뜨구요.

엑티브X 경고가 뜨는 브라우저에 있는 URL http://photo-worldn.hanmail.net 를 찾아 들어가 봤더니.. worldn.media.daum.net 파일서버 페이지가 뜹니다. worldn.media.daum.net의 주소로 서비스되는 Daum 서비스 중 어딘가에 악성코드 파일을 올려 놓고 링크를 걸어 놓은 듯 합니다.

file.worldn.media.daum.net을 열어보니.. 미디어다음 메인페이지로 넘어가네요.

worldn.media.daum.net을 직접 열어보니.. 미디어다음의 '세계엔'서비스 메인페이지네요. 아마도 '세계엔' 서비스 어딘가에 게시글을 작성하며 악성코드를 심어놓은 것 같습니다.

구글에서 '고투클릭'이라고 검색해보니.. 악성코드 조심하라고 누군가 아고라게시판에 쓴 게시글이 검색되네요.
http://bbs2.agora.media.daum.net/gaia/do/kin/read?bbsId=K150&articleId=266735

악성코드임이 분명해졌습니다. 일단 블로그 관리자페이지에서 어제 오늘 작성된 댓글을 리스트를 뒤져봤습니다... 그랬더니 역시..

'동감입니다' 라는 댓글을 단 사용자의 이름에 embed태그가 들어 있네요.

스팸차단하기를 눌어보니.. 태그 전문이 보입니다. 그리고 바로 댓글 삭제와 IP차단 조치하였습니다.

어제 오전에 다음 고객센터 쪽에 문의 접수를 해 놓은 상황인데.. 아직 답변이 없어 내일까지 기다려볼까 하다가.. 혹시나 하는 마음에 뒤져봤더니.. 다행히 악성코드를 심어놓은 댓글을 찾을 수 있었습니다.

혹시 제 블로그 방문하신 분 중에 위 악성코드로 인해 PC에 이상이 있으신 분 계시다면 대신 죄송하단 말씀을 드리구요(__)

제가 회사PC에서 위 악성코드를 설치해 봤는데.. 익스플로러 설정을 고정시키는 악성코드였습니다. 레지스트리 다 지우고 쿠키 등 다 정리해도 삭제가 안되더군요. 그 외에는 별다른 문제점을 일으키진 않았지만.. "시스템복원" 기능을 이용해 악성코드 설치 전으로 시스템을 복원시킬 수 밖에 없었습니다.

아무튼.. 다음 미디어 내 게시판에 버젓이 악성코드 파일을 올려 놓고 불특정 네티즌들을 향해 무작위로 배포하고 있는 배포업자도 나쁘지만.. 이런 일이 한두번이 아닌데도 제대로 잡아서 차단하지 못하는 다음미디어측도 반성해야 할 일입니다.

다음측은 다른 형태로 올려져 배포되고 있는 악성코드가 또 있을지 모르니.. 게시물 모니터링과 관리감독을 좀더 철저히 하길 바라구요.

혹시 이 글을 읽으시는 분 중에 블로그 방문시 위와 유사한 증상이 있으신 분은 댓글이나 방명록 등에 게시된 글 중에 악성코드를 배포하는 소스가 심어져 있지는 않은지 확인해보시기 바랍니다.