악성코드 rook.html로 인한 브라우져 경고 메시지

한간에 화제가 되고 있는 rook.html 파일입니다. 대부분의 블로그에 글을 보면서 내용을 까본 블로그가 별로 없다는게 안타깝다는 생각이 들어 이렇게 포스팅까지 하게 되었습니다. javascript 에 대해서 잘 아는 것도 아니지만 대충 소스를 훝어보았습니다. 뭐 절대 다운 받지 마라. 이런 말들이 돌고 있긴 한데....이 파일을 받는다고 크게 영향을 미칠 것 같지 않아서 다운받아보았습니다.

---

---

구글크롬, 사파리, 파폭 등등의 브라우져를 사용하시는 분들은 알겠지만 최근들어서 이웃블로그에 접속시에 악성코드로 의심되는 사이트라고 나오면서 접근여부의 선택을 사용자에게 맡기고 있습니다. 결국 사람들은 경고 메시지를 보고 접속을하지 않게 되니 결국 검색 유입의 숫도 줄어들게 됩니다.

일단 소스를 까보았습니다. 무슨 내용인지 궁금하기도 하고 소스를 알아야 대처를 할 수 있으니...

---

---

소스를 보니 특별한 행동을 하는 것 같아보이지는 않습니다. loadx() 함수를 생성하고 cool.html이 눈에 들어옵니다. height 값을 1로 세팅되어 있는것을 보니 거의 눈에 들어오지 않는 프레임인 것 같습니다. 새로운 날짜를 받고 시간을 얻은 다음에 특정한 값을 더한 다음 시간을 세팅하는 부분도 보입니다.

쿠키 값을 얻은다음에 특정한 헤더를 쿠기에 삽입하는 과정도 보이고 beginPosition 값 즉 헤더 값이 없으면 동작을 하지 않고 해더 값이 존재하면 동작되는 부분도 있습니다.

뭔가 이 소스가 하는 역활인 뭔지는 정확하게는 모르겠지만 수상한 냄새를 풍기는 건 확실합니다. 그리고 소스 아래쪽에 보이는 사이트 주소를 들어가보고 싶었지만 약간 주춤하게 되어 접속은 하지 않았습니다. ....http://s123.cnzz.com/.... 사이트에 접근은 하지 않게는 좋을 듯하며 아마도 이 사이트에서 통계를 내는 것 같습니다. 

제대로 까보기는 힘들지만 SQL injection 을 통해서 공격하는 것 같습니다. rondll32 파일과 연관이 되어 있는 것 같은데 보안의 헛점을 노린 것이니깐 라이브러리에 뭔가를 이용하는 것 같습니다. 제대로 까보기에는 지식이 부족한 것 같습니다.

각 브라우져마다 보안상의 헛점이 있으면 이 파일들이 실행이 되고 결국 특정 파일을 수정하도록 되어 있는 것 같습니다. 각 브라우져마다 해당되는 파일들은 좀 다르지만 백신 개발자분들이 하나씩 까보면 뭔가 나오지 않을까 생각됩니다. 여튼 악성코드를 서버에 심어서 점점 인터넷을 통해서 번져나가는 것 같습니다. 여튼 보안 업데이트가 안된 브라우져를 사용하실 경우에는 사용자의 의견과 상관없이 다운로드되어 버리기 때문에 문제인 것 같습니다. 인터넷 익스플로러 6.0은 그냥 다운로드가 되어버리는 것 같은데 어차피 마소에서도 6.0은 버렸으니...업데이트는 안될 것이니 그냥 높은 버전의 브라우져를 사용하심이 좋을 듯합니다.

---

---

일부 블로그에서는 마이애드센스나 애드찜 사이트를 통해서 접근 차단 경고를 주는 것도 보이며 위의 그림처럼 두 사이트 서버에 문제가 있는 것 같은 느낌입니다. 잠시 동안은 위의 해당 사이트의 스크립트는 제거해 두어야 정상적인 유입이 될 것 같습니다. 각 해in당 서버에는 조치를 취해야지 다른 블로거들이나 사이트를 운영하시는 분들에게 피해가 가지 않을 것 같습니다.