rook.html 마이센스 악성코드 대처 방법

내 블로그에 rook.html 다운로드 창이 ?


어제 8월 16일 씨디맨 컴퓨터이야기 제 블로그에서 rook.html 다운로드 창이 갑자기 뜨더군요. 댓글을 확인하다가 발견했습니다. 마이센스 코드에 악성코드가 들어가 있어서 파이어폭스에서는 공격사이트로 분류가 되고, 또는 rook.html 다운로드가 뜨며, 인터넷 익스플로러에서는 오류가 나고 하더군요.

처음에 해당 내용을 확인한건 댓글 창 이외에 다른 모든 블로그 페이지에서 에러가 나타나서 스킨에 문제가 있겠구나 생각을 했습니다. 그래서 파이어버그로 살펴보았죠. 마이센스 바로 다음 부분에 이상한 코드가 삽입 되어 있더군요. 문제의 다운로드 파일인 rook.html 문구도 보였습니다. 그래서 마이센스 코드를 주석 처리 해 보니 문제가 해결 되네요.


마이센스 악성코드 왜 일어나는가


<!-- 마이센스 -->
<script src="http://adsystem.kr/adinfo/mysense.js.html?id=cdmanii&amp;time=24&amp;count=4&amp;bmode=hide" type="text/javascript"></script>

해당 마이센스 코드를 생성하여 블로그에 넣어두면 임의로 막 클릭되는 구글 부정 클릭을 막을 수 있습니다. 개인이 서버를 운영해서 로그를 생성하고 도움을 주는것으로 아는데, 참고맙긴한데 이부분에서 악성코드가 심어져 있더군요. mysense.js.html 파일을 열어보면,

마이센스, rook.html, rook, html, 악성코드, 악성, 코드, mysense, js, 스크립트, php, 악의적, 목적, 블로그팁, 블로그, 팁


위와 같이 해당 마이센스 코드 다음줄에 강제로 iframe 로 임의의 악성코드를 삽입하는 문구가 들어있네요. 즉 저부분이 문제의 시작입니다. 해당 부분이 실행되면 iframe 로 임의의 파일을 블로그에 삽입하게 됩니다.



해당 부분 때문에 위 사진과 같이 rook.html 이 다운로드 창이 뜨게 됩니다. IE 에서는 바로 실행이 되면서 저렇게 뜨지 않고 에러가 나네요. IE 가 더 위험합니다.

마이센스, rook.html, rook, html, 악성코드, 악성, 코드, mysense, js, 스크립트, php, 악의적, 목적, 블로그팁, 블로그, 팁


삽입된 코드는 다른 파일을 다운로드해서 캐시 시간을 아주 길게 설정해놓고 iframe 로 넣어두게 됩니다. 이부분에서 조건문 분기가 되고 이상한 php 파일에 아이디와 내용을 넣어서 실행시키네요. php 는 참고로 중국사이트의 어떤 파일이고 php 특성상 어떤 내용이 돌아가는지는 파악이 안됩니다. 서버 스크립트 파일이기 때문이죠.

이 문제를 해결 하려면 지금 당장에는 마이센스를 잠깐 주석처리해놓고 마이센스에서 해당 코드를 수정하는 방법 밖에 없어보이네요. 해당파일을 읽기전용으로 해두고 실행이 안되도록 해둬야 했을듯한데, 서버쪽에 보안이 뚫린듯합니다. 저 js 파일을 외부에서 가져가도록 즉 스킨에서 가져가도록 해버리고 로그만 마이센스 서버에 남기도록 해도 될것같긴한데, 뭐 일단은 그렇네요.

조금 신기한건 IE 에서는 rook.html 다운로드가 안뜨고 그냥 에러만 뜰겁니다. 사실 이게 더 위험합니다. 악성코드를 심은 사람의 의도대로 동작했다는 뜻입니다. 파이어폭스나 구글크롬 경우에는 해당파일 즉 rook.html 를 다운로드 즉 실행이 안되고 다운로드가 되버립니다. iframe 로 해당 코드를 심었지만 숙주가 되는 rook.html 파일을 임시폴더에 다운로드 할 수 없었기에 사실 더 안전하네요. 뭔가 창이 떠버려서 불편했을 수 는 있지만요.


마이센스 악성코드 대처 방법 (순서 중요)


마이센스 코드가 수정되면 문제가 해결 되겠지만, 지금 상태는 마이센스에서 아직 대응을 안하는 상태입니다. 지금 상태에서 우리가 대처할 수 있는 방법에 대해서 설명합니다.


1. 마이센스 코드를 주석 처리 합니다. skin.html 끝에 넣어둔 마이센스 코드를 빼두거나 주석 처리해 둡시다.

2. http://s123.cnzz.com/ 를 제한 사이트에 등록해 둡니다. (익스플로러 설정에 보안 > 제한사이트에 등록)

마이센스, rook.html, rook, html, 악성코드, 악성, 코드, mysense, js, 스크립트, php, 악의적, 목적, 블로그팁, 블로그, 팁



3. 익스플로러 또는 브라우저의 임시폴더 비우기

웹페이지를 실행하면 쿠키의 시간이 살아 있는 한, 임시폴더의 파일을 읽어오게 됩니다. 즉 마이센스 코드를 주석해놓았다고 끝이 아닙니다. 컴퓨터에 이미 받아진 해당 파일이 실행되면서 적의 의도대로 돌아가게 됩니다. 임시폴더를 지우세요. 그러면 숙주가 되는 파일이 사라지면서 문제가 해결 되게 됩니다.



// 추가 (8월 18일)

현재 마이센스 코드가 수정이 되었네요. 지금은 마이센스 코드에 악성코드가 제거된 상태입니다. 마이센스 활성화 하셔도 될 듯 합니다.


// 추가
최근에 다시 마이센스가 문제를 일으키는거 같네요. 아예 빼두시는것도 나쁘지 않을듯합니다;
신고

이 글은 "씨디맨" 의 동의 없이 전문 재배포 금지. 링크 및 트랙백은 허가 없이 무제한 허용 *  [자세히보기]

질문 또는 댓글을 남겨 주세요.

질문글은 무조건 답변 드리겠습니다. 이곳에 질문을 올려주세요.
이 글과 연관이 없는 급한 질문은 빠른 질문/답변을 이용해 주세요!

댓글 입력 폼

:)   :(   --;   :D   :O   :x   r:r   g;g   i;t   s;s

     이미지 업로드  [무료이미지 업로드 방법 설명]

  1. 이전 댓글 더보기
  2. 촌스런블로그 2010.08.17 16:27 신고

    유용한 정보 정말 감사합니다~~^^

    perm. |  mod/del. |  reply.
  3. 닉쑤 2010.08.17 16:56 신고

    역시 씨디맨님!!
    좋은 정보 감사합니다~

    저는 마이센스 안 쓰는데도 오류가 자꾸 나길래 뭔가 했더니
    쓰시는 분들이 댓글 알아서 그랬나 보네요.

    그리고 크롬에서 뭔가를 다운 받던데.. 그냥 닫았기에 다행이네요 -0-;

    perm. |  mod/del. |  reply.
  4. 세이지클라서 2010.08.17 17:09 신고

    이번 사태는 정말 심각하네요... ㅜ_ㅜ;;

    perm. |  mod/del. |  reply.
  5. 입질의추억 2010.08.17 17:15 신고

    덕분에 많은 도움이 되었습니다. 마이센스때문에 그동안 이웃이 못들어오고 하는 현상이 생긴거 같아요~ 그럼 제트센스를 써야할까요? 걍 아무것도 안쓰기엔 좀 불안불안하구요~
    제트센스은 어떤가요?

    perm. |  mod/del. |  reply.
  6. 니자드 2010.08.17 17:59 신고

    저는 그저께 아예 윈도우 프로파일이 날아가서 포맷하고 새로 깔았습니다. 요새 바이러스와 웜은 시스템을 완전히 맛가게는 안한다고 하던데 가끔은 맛가게도 하네요;; 하여간 윈도우 아니라 차라리 리눅스 쓰고 싶습니다;;

    perm. |  mod/del. |  reply.
  7. 백마탄 초인 2010.08.17 20:05 신고

    난리군요, 난리,,,
    악성코드 퍼뜨리는 악의 축들은 좀 사라져야!!!

    perm. |  mod/del. |  reply.
  8. 펨께 2010.08.17 20:06 신고

    마이센스를 쓰진 않는데 혹시 이것 사용하시는 분 블로그 댓글 올렸다가
    황당한 일 생길까 무척 걱정되네요.
    좋은 정보 감사합니다.

    perm. |  mod/del. |  reply.
  9. 늅ㄴ 2010.08.17 20:45 신고

    컴맹인데도 쉬운 설명에 고개가 끄덕여집니다.
    임시폴더의 파일을 삭제하고 악성 코드 유포시키는 사이트를 전부 차단해야겠습니다.


    씨디맨님, 또하나 질문 드립니다.

    <!-- 마이센스 -->
    <script src="http://adsystem.kr/adinfo/mysense.js.html?id=cdmanii&amp;time=24&amp;count=4&amp;bmode=hide" type="text/javascript"></script>

    이 부분에서 mysense.js.html을 주석처리한다라는 건 어떻게 하는 것인가요..
    일단 계속 제 블로그를 안전 진단해보니

    http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://reeview.tistory.com

    이런 식으로 계속 나옵니다 ㅠㅠ
    오늘 새벽에 구글 광고와 마이센스를 전부 제거하고, 구글에 재검토를 부탁하는 신청을 했는데 시간이 지나야 위험평가가 풀릴까요ㅠㅠ

    perm. |  mod/del. |  reply.
    • 씨디맨 2010.08.17 20:47 신고

      <!-- 마이센스 -->
      <!-- script src="http://adsystem.kr/adinfo/mysense.js.html?id=cdmanii&amp;time=24&amp;count=4&amp;bmode=hide" type="text/javascript"></script -->

      이런식으로 해주시면 일단 주석이 됩니다. 해당내용을 아예 잠시 빼두셔도 되구요. ^^

      perm. |  mod/del. |  reply.
    • 늅ㄴ 2010.08.17 21:03 신고

      씨디맨님 친절한 답변 감사드려요ㅜㅜ

      perm. |  mod/del. |  reply.
  10. 탐진강 2010.08.17 20:53 신고

    마이센스도 그렇고 요즘 악성코드 참 많더군요
    저는 V3 + 사이트가드 조합으로 견디고 있어요

    perm. |  mod/del. |  reply.
  11. 머 걍 2010.08.17 21:39 신고

    마이센스하고 불독 위젯하고 일단 주석처리를 했는데
    댓글 다신 분들 중에 아직 처리가 안되신 분들이 계셔서 그런지
    댓글창만 열면 다시 경고창이 뜨네요.ㅠㅠ

    perm. |  mod/del. |  reply.
  12. 폼홀릭 2010.08.17 22:49 신고

    안녕하세요.
    요즘 악성코드가 흉흉해 크롬을 깔고 제 블로그에 들어가보니 티에디션까지는 괜찮은데, 포스팅 클릭하면 경고창이 뜹니다.
    '웹사이트에 악성코드를 호스팅하는 것으로 추정되는 사이트(포스팅 별로 주소도 다양;;)에서 유입되는~ 어쩌구 저쩌구 글입니다.
    전 제트센스 사용자구요.
    어떻게 하면 되나요...;; 컴맹이라 급 당황.....
    씨디맨님의 글 중에 '티스토리 블로그 rook.html~해결방법' 글을 읽어볼려고 클릭하니 마찬가지고 또 경고창이...
    어쪄죠?;;;

    perm. |  mod/del. |  reply.
    • 씨디맨 2010.08.17 23:26 신고

      지금 다른 블로그를 가셨다가 임시폴더에 스크립트 파일이 받아진거같아요. 임시폴더를 비우시면 해결 됩니다. 제 블로그 자체에는 지금 악성 코드는 없는상태입니다.

      perm. |  mod/del. |  reply.
  13. 구차니 2010.08.18 00:09 신고

    역시.. 중국은 이제 세계의 적!

    perm. |  mod/del. |  reply.
  14. 유똥 2010.08.18 10:51 신고

    씨디맨님 접속안되서 어제깜놀!

    perm. |  mod/del. |  reply.
  15. 소춘풍 2010.08.18 12:44 신고

    전 이거 뭔지도 몰라요 -_-;;;
    헐...전 피해간건가요??

    perm. |  mod/del. |  reply.
  16. Kay~ 2010.08.18 16:20 신고

    마이센스에서 이런 문제가 있었군요~~
    전 오래전에 마이센스에서 오류가 발생하길래 주석처리해놓고는
    풀지 않고 있어서 다행히 피해나 현상을 확인하지 못했네요~~
    그런데 누가 왜..이런 짓을 했을까요? 무슨득을 보자고.. ㅎㅎ

    perm. |  mod/del. |  reply.
  17. 이름이동기 2010.08.18 22:24 신고

    어흑...저도 지금 계속 경고창이 뜨고 있어요 ㅠ

    그런데 어제랑 오늘 블로그 스킨을 바꾸느라 마이센스 코드를 아직 넣지 않았고.
    블로그독 위젯도 삭제했고 애드찜도 지웠는데 ~
    계속 경고경고경고 ~ ~ ㅠㅠ

    perm. |  mod/del. |  reply.
  18. 닉쑤 2010.08.19 12:59 신고

    레뷰 시작했습니다!! ㅋ

    perm. |  mod/del. |  reply.
  19. 유이테르 2010.09.04 10:58 신고

    레뷰 타고 왔다가 정말 좋은글 보고 갑니다.

    좋은 정보 감사해요~

    perm. |  mod/del. |  reply.
  20. 바퀴철학 2010.09.14 23:02 신고

    끙...
    제 블로그에도 크롬 쓰시는 방문자께서 말웨어가 감지된다고 알려주셨는데,
    전 마이센스 코드를 스킨에 입력한 적이 없습니다.
    검사를 해 봐도 원인이 뭔지 모르겠네요...

    어떻게 해야 없앨 수 있을까요?

    perm. |  mod/del. |  reply.
  21. Desert Rose 2011.01.23 05:39 신고

    안녕하세요.
    사막장미입니다.

    이렇게 바쁘실텐데 문의하나 드립니다.
    마이센스 주석처리하면, 부정클릭방지 효능이 사라지는 건지?

    제 블로그 죄측하단에 한자4글자가 나오는데 그것을 클릭하면,
    http://countt.51yes.com 사이트로 이동해서 시디님이 포스팅한대로 했답니다.

    어떻게 할지 모르겠네요 ㅜㅜ

    perm. |  mod/del. |  reply.