본문 바로가기
유용한_팁/블로그_팁

rook.html 마이센스 악성코드 대처 방법

by 씨디맨 2010. 8. 17.
320x100

내 블로그에 rook.html 다운로드 창이 ?


어제 8월 16일 씨디맨 컴퓨터이야기 제 블로그에서 rook.html 다운로드 창이 갑자기 뜨더군요. 댓글을 확인하다가 발견했습니다. 마이센스 코드에 악성코드가 들어가 있어서 파이어폭스에서는 공격사이트로 분류가 되고, 또는 rook.html 다운로드가 뜨며, 인터넷 익스플로러에서는 오류가 나고 하더군요.

처음에 해당 내용을 확인한건 댓글 창 이외에 다른 모든 블로그 페이지에서 에러가 나타나서 스킨에 문제가 있겠구나 생각을 했습니다. 그래서 파이어버그로 살펴보았죠. 마이센스 바로 다음 부분에 이상한 코드가 삽입 되어 있더군요. 문제의 다운로드 파일인 rook.html 문구도 보였습니다. 그래서 마이센스 코드를 주석 처리 해 보니 문제가 해결 되네요.


마이센스 악성코드 왜 일어나는가


<!-- 마이센스 -->
<script src="http://adsystem.kr/adinfo/mysense.js.html?id=cdmanii&amp;time=24&amp;count=4&amp;bmode=hide" type="text/javascript"></script>

해당 마이센스 코드를 생성하여 블로그에 넣어두면 임의로 막 클릭되는 구글 부정 클릭을 막을 수 있습니다. 개인이 서버를 운영해서 로그를 생성하고 도움을 주는것으로 아는데, 참고맙긴한데 이부분에서 악성코드가 심어져 있더군요. mysense.js.html 파일을 열어보면,

마이센스, rook.html, rook, html, 악성코드, 악성, 코드, mysense, js, 스크립트, php, 악의적, 목적, 블로그팁, 블로그, 팁


위와 같이 해당 마이센스 코드 다음줄에 강제로 iframe 로 임의의 악성코드를 삽입하는 문구가 들어있네요. 즉 저부분이 문제의 시작입니다. 해당 부분이 실행되면 iframe 로 임의의 파일을 블로그에 삽입하게 됩니다.



해당 부분 때문에 위 사진과 같이 rook.html 이 다운로드 창이 뜨게 됩니다. IE 에서는 바로 실행이 되면서 저렇게 뜨지 않고 에러가 나네요. IE 가 더 위험합니다.

마이센스, rook.html, rook, html, 악성코드, 악성, 코드, mysense, js, 스크립트, php, 악의적, 목적, 블로그팁, 블로그, 팁


삽입된 코드는 다른 파일을 다운로드해서 캐시 시간을 아주 길게 설정해놓고 iframe 로 넣어두게 됩니다. 이부분에서 조건문 분기가 되고 이상한 php 파일에 아이디와 내용을 넣어서 실행시키네요. php 는 참고로 중국사이트의 어떤 파일이고 php 특성상 어떤 내용이 돌아가는지는 파악이 안됩니다. 서버 스크립트 파일이기 때문이죠.

이 문제를 해결 하려면 지금 당장에는 마이센스를 잠깐 주석처리해놓고 마이센스에서 해당 코드를 수정하는 방법 밖에 없어보이네요. 해당파일을 읽기전용으로 해두고 실행이 안되도록 해둬야 했을듯한데, 서버쪽에 보안이 뚫린듯합니다. 저 js 파일을 외부에서 가져가도록 즉 스킨에서 가져가도록 해버리고 로그만 마이센스 서버에 남기도록 해도 될것같긴한데, 뭐 일단은 그렇네요.

조금 신기한건 IE 에서는 rook.html 다운로드가 안뜨고 그냥 에러만 뜰겁니다. 사실 이게 더 위험합니다. 악성코드를 심은 사람의 의도대로 동작했다는 뜻입니다. 파이어폭스나 구글크롬 경우에는 해당파일 즉 rook.html 를 다운로드 즉 실행이 안되고 다운로드가 되버립니다. iframe 로 해당 코드를 심었지만 숙주가 되는 rook.html 파일을 임시폴더에 다운로드 할 수 없었기에 사실 더 안전하네요. 뭔가 창이 떠버려서 불편했을 수 는 있지만요.


마이센스 악성코드 대처 방법 (순서 중요)


마이센스 코드가 수정되면 문제가 해결 되겠지만, 지금 상태는 마이센스에서 아직 대응을 안하는 상태입니다. 지금 상태에서 우리가 대처할 수 있는 방법에 대해서 설명합니다.


1. 마이센스 코드를 주석 처리 합니다. skin.html 끝에 넣어둔 마이센스 코드를 빼두거나 주석 처리해 둡시다.

2. http://s123.cnzz.com/ 를 제한 사이트에 등록해 둡니다. (익스플로러 설정에 보안 > 제한사이트에 등록)

마이센스, rook.html, rook, html, 악성코드, 악성, 코드, mysense, js, 스크립트, php, 악의적, 목적, 블로그팁, 블로그, 팁



3. 익스플로러 또는 브라우저의 임시폴더 비우기

웹페이지를 실행하면 쿠키의 시간이 살아 있는 한, 임시폴더의 파일을 읽어오게 됩니다. 즉 마이센스 코드를 주석해놓았다고 끝이 아닙니다. 컴퓨터에 이미 받아진 해당 파일이 실행되면서 적의 의도대로 돌아가게 됩니다. 임시폴더를 지우세요. 그러면 숙주가 되는 파일이 사라지면서 문제가 해결 되게 됩니다.



// 추가 (8월 18일)

현재 마이센스 코드가 수정이 되었네요. 지금은 마이센스 코드에 악성코드가 제거된 상태입니다. 마이센스 활성화 하셔도 될 듯 합니다.


// 추가
최근에 다시 마이센스가 문제를 일으키는거 같네요. 아예 빼두시는것도 나쁘지 않을듯합니다;

댓글