악성코드 '고투클릭' 드디어 잡았다!!
WEB & IT 2008. 10. 28. 00:15 |
얼마전부터 제 블로그를 열면 갑자기 IE브라우저가 작아지면서 이상한 엑티브X를 설치하라는 창으로 바뀌어버리더군요. 어제부터 제 블로그를 열면 이런 팝업창으로 뒤바뀌어 버리더군요. 엑티브X 설치를 선택하면 이런 알럿이 뜨구요. 엑티브X 경고가 뜨는 브라우저에 있는 URL http://photo-worldn.hanmail.net 를 찾아 들어가 봤더니.. worldn.media.daum.net 파일서버 페이지가 뜹니다. worldn.media.daum.net의 주소로 서비스되는 Daum 서비스 중 어딘가에 악성코드 파일을 올려 놓고 링크를 걸어 놓은 듯 합니다. file.worldn.media.daum.net을 열어보니.. 미디어다음 메인페이지로 넘어가네요. worldn.media.daum.net을 직접 열어보니.. 미디어다음의 '세계엔'서비스 메인페이지네요. 아마도 '세계엔' 서비스 어딘가에 게시글을 작성하며 악성코드를 심어놓은 것 같습니다. '동감입니다' 라는 댓글을 단 사용자의 이름에 embed태그가 들어 있네요. 스팸차단하기를 눌어보니.. 태그 전문이 보입니다. 그리고 바로 댓글 삭제와 IP차단 조치하였습니다.
정확히 말하자면 어제(10월 26일) 우천시 야구장 관리에 대한 글이 다음 메인에 게시되어 트래픽 폭탄을 맞은 후 부터 입니다.
그때 방문한 트래픽 중 악성 코드를 배포하는 댓글을 통해 어떤 소스가 심어진게 아닌가 싶었습니다.
혹시 PC에 깔려서 그런게 아닌가 싶어 3대의 PC에서 테스트 해보았더니 PC에 상관없이 뜨는 것으로 보아 블로그 댓글 중 소스를 통해 악성코드를 배포하고 있지 않나 싶었습니다.
구글에서 '고투클릭'이라고 검색해보니.. 악성코드 조심하라고 누군가 아고라게시판에 쓴 게시글이 검색되네요.
http://bbs2.agora.media.daum.net/gaia/do/kin/read?bbsId=K150&articleId=266735
악성코드임이 분명해졌습니다. 일단 블로그 관리자페이지에서 어제 오늘 작성된 댓글을 리스트를 뒤져봤습니다... 그랬더니 역시..
어제 오전에 다음 고객센터 쪽에 문의 접수를 해 놓은 상황인데.. 아직 답변이 없어 내일까지 기다려볼까 하다가.. 혹시나 하는 마음에 뒤져봤더니.. 다행히 악성코드를 심어놓은 댓글을 찾을 수 있었습니다.
혹시 제 블로그 방문하신 분 중에 위 악성코드로 인해 PC에 이상이 있으신 분 계시다면 대신 죄송하단 말씀을 드리구요(__)
제가 회사PC에서 위 악성코드를 설치해 봤는데.. 익스플로러 설정을 고정시키는 악성코드였습니다. 레지스트리 다 지우고 쿠키 등 다 정리해도 삭제가 안되더군요. 그 외에는 별다른 문제점을 일으키진 않았지만.. "시스템복원" 기능을 이용해 악성코드 설치 전으로 시스템을 복원시킬 수 밖에 없었습니다.
아무튼.. 다음 미디어 내 게시판에 버젓이 악성코드 파일을 올려 놓고 불특정 네티즌들을 향해 무작위로 배포하고 있는 배포업자도 나쁘지만.. 이런 일이 한두번이 아닌데도 제대로 잡아서 차단하지 못하는 다음미디어측도 반성해야 할 일입니다.
다음측은 다른 형태로 올려져 배포되고 있는 악성코드가 또 있을지 모르니.. 게시물 모니터링과 관리감독을 좀더 철저히 하길 바라구요.
혹시 이 글을 읽으시는 분 중에 블로그 방문시 위와 유사한 증상이 있으신 분은 댓글이나 방명록 등에 게시된 글 중에 악성코드를 배포하는 소스가 심어져 있지는 않은지 확인해보시기 바랍니다.
'WEB & IT' 카테고리의 다른 글
굿바이! 파란닷컴(하이텔) (5) | 2012.06.18 |
---|---|
미투데이의 두 얼굴!!!! (0) | 2008.12.24 |
서울 첫눈, 포탈 로고도 첫눈테마로 바꼈네.. (5) | 2008.11.20 |
한글날, 포탈들의 메인 모습은? (0) | 2008.10.09 |
KT의 고객관리, 참 아쉽다. (0) | 2008.10.01 |
유명 게임 '풍선터트리기'의 국내서비스가 시작됐네요. (0) | 2008.08.27 |
다음 블로거뉴스 AD에 바란다. (1) | 2008.07.27 |