[완료]무비스트, 이 사이트는 컴퓨터에 문제를 야기할 수 있습니다?
안녕하세요. ^^
뭐~ 사연은 이렇습니다. ^^;
(컴맹이 컴퓨터 문제에 관해 적절하게 질문을 하지 못하는것처럼 저도 그렇게 글을 쓰고 있는것 같아 두렵습니다. ^^;)
제가 최근 몇년동안 거의 매일 방문하는 사이트 중의 하나가 '무비스트(www.movist.com)'라는 곳인데요.
어제 제가 구글 검색을 하다가 '무비스트'가 컴퓨터에 문제를 야기시킬 수 있다는 문구를 발견했습니다.
구글에 '무비스트'로 검색하니 'www.movist.com', 'vod.movist.com', 'dr.movist.com'에 접속하면 문제가 생길 수 있다는것 같아서 자세한 내막을 알아보고자 여기저기서 검색을 해봤습니다. 검색 결과로 이 사이트에서 악성코드가 검출된지 꽤 오래 되었다는 걸 알게 되었습니다. 아! 충격이었죠.
이제 이 사이트를 계속 방문해도 될지를 결정해야 되는데...
제가 잘 모르는 부분이라 KLDP 분들께 여쭙고자 글을 올립니다.
'www.movist.com'을 웹브라우저에 띄운 후 소스보기를 했더니 맨 첫째줄, 둘째줄에 이렇게 나오는군요.
'http://211.200.31.81/web/web.gif' 이걸 웹브라우저에 띄어 보았습니다.
'오페라'에서는 '이미지'로 보여주려고 하는것 같은데 소스보기가 불가능했고...
'익스플로러'에서는 중국말(?)이 떠 버리고 그 이후에 소스보기를 하면 별것 없더군요.
그래서...<a href="http://211.200.31.81/web/web.gif">web.gif</a>라고 적은 html 문서를 만들어서 'web.gif'를 저장해 보았습니다.
'web.gif'를 vi로 열어보니 다음과 같은 코드가 있었습니다.
<script language=vbscript>
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chrw(eval(s(i)))
Next
rechange=t
End Function
헉!!!!
이 코드가 무엇에 쓰이는 건지 전혀 모르겠습니다.
결론을 지으면...
위 코드가 대충 어떤 코드인지 궁금하구요.
무비스트, 이제 발길을 끊어야 하는건가요?
PS. 읽어주신 분들의 관심에 감사드립니다.
전 주성치에 관해
전 주성치에 관해 검색을 하다가
무비스트에 접속하게 되었는데
메가닥터에서 바로
뭐가 걸린다고 실시간으로 잡아내더군요...
꺼림직한 맘에
그후론 접속안합니다.
저게 꽤 오래된건데
방치하는건지 의도적인건지 의도가 없는건지는 잘 모르겠군요.
꽤 오래된거라
꽤 오래된건데 저는 전혀 모르고 있었다는 사실에 충격이 더 큽니다. ^^
매일 밥먹는것 보다도 더 자주 들어가거든요.
XP 환경에서 백신은 카스퍼스키 6.0, 아바스트 홈에디션, Antivir 홈에디션, AVG 홈에디션을 같이 쓰는데 제가 실시간 감시는 무조건 사용을 안하기 때문에 전혀 눈치를 못챘습니다. ^^;
검색해서 쉽게 찾을 수 있었던 어느 블로거의 2007년 4월 게시글에서... 무비스트에서 ani 취약점을 악용하는 파일들을 찾을 수 있었다고 했는데 이번 무비스트의 경우는 좀 다른 방법인것 같아요.
지금 들어가 보니
지금 들어가 보니 보이지 않네요. iframe 을 통한 악성 코드 삽입이라면..
1. cross site attack 에 의한 변조
2. arp spoofing 에 의해서 변조된 경우
이렇게 볼 수 있죠. 2번에 당할 경우, 서버에서는 아무리 찾아봐도 변경된 것이 보이지 않으니 담당자 입장에서 지식이 없으면 환장할 노릇이 될 수도 있겠죠. 1번도 마찬가지일테고 ^^;
지금은... 또...
김정균님 덕에 많이 알게 되었습니다. 감사합니다.
김정균님의 글을 본 후 그리고 지금으로부터 세시간 전쯤 무비스트에 접속했을 때 iframe이 없어진 것을 확인했습니다.
하지만 또 두시간 전부터 지금까지 iframe이 삽입되어 있는것이 보입니다. ^^
'ARP Spoofing' 관련 문서를 찾아 읽어 본 후 무비스트의 전과(?)를 고려(?)해보니 무비스트는 안전하지 않다는 결론을 내리게 되었습니다. 이 사이트랑은 이제 안녕이군요. ^^;
그리고 이제는 백신의 실시간 감시기능을 켜놔야겠습니다. ^^;
김정균님 덕에 많이 알게 되었습니다. 감사합니다.
잡담:
'www.movist.com'의 IP가 211.110.211.203이라고 나와서 무비스트와 동일 서브넷 상에 있는 서버의 웹페이지들은 상태가 어떤가 궁금해서 인접한 몇개의 IP를 따라 살펴봤는데 강제로 삽입된 iframe은 찾을 수 없었습니다. 그런데 정작 'www.movist.com'은 nmap으로 스캔하면 죽어있다고 나오네요. 제가 서브넷을 제대로 찾은건지 모르겠네요. ^^;
P.S.
VBScript는 제 바닥지식으로는 너무 쌩뚱맞게 보여서 도저히 이해가 안가는군요. 힌트 주실 분이 분명히 계실꺼라는 믿음이 있어 2, 3일 더 '완료' 머리글을 미루겠습니다. ^^;
vbs 해보았습니다.
뭐 저도 vbs를 모릅니다만..
일단 소스를 보니..
뒤의 문자열을 글거서 파싱해서 unicode로 만들어서 실행하는듯하더군요.
그리고 document.write 부분을 MsgBox로 대체했습니다.
실행하면 첨부파일같이 되구요.
원래는 파이썬으로 파싱해서 unichr로 복구해볼랬는데 좀 뭔가 안되는군요.
그래서 브라우저 상에서 복구해보았습니다.
뭐.. 크게 피해는 없겠지만.. -_-;; ( 코드상으론.. )
PS : j 라던가.. 해스켈 , r , 뭐.. 이런류 아희 라던가 -_-;; 를 빼곤.. 대부분 비슷하니 보면 문맥상으로 의미가 유추가 됩니다.
-------------------------------------------------------------------------------------------------------
Life ... http://iz4u.net/blog/
------------------------------------------------------------------------------------------------
Life is in 다즐링
윽~ 죄송합니다. ^^;
죄송합니다. ^^;
그냥 쬐금 쓸줄 아는... ^^; win32용 gvim 7.1을 txt 기본 편집기로 쓰고 있는데 다즐링님의 첨부파일을 보고 End Function 다음에 코드가 더 있다는 것을 알았습니다. gvim에서 End Function의 다음 라인이 안보여서 저는 End Function까지가 전부인 줄 알았습니다. ^^;
죄송합니다.
감사합니다. ^^
다즐링님 덕에 이제야 방향을 잡게 되었습니다. 저 코드를 제가 이해할 수 있게 될까 의문이 들지만 아무튼 이제 저는 공부를 많이 해야 할 것 같아요. ^^
다즐링님! 감사합니다. 다즐링님의 설명과 첨부 파일이 정말 큰 도움이 됐습니다. ^^
잡담:
위의 그림과 같은 상황에서 gvim이 10번 라인의 앞부분을 보여 주게 하는 설정(?) 같은게 있나요? ^^;
※ 오늘은 2007년 12월 31일... 설정하는 방법 배웠습니다. ^^; --> http://kldp.org/node/89745
http://211.200.31.81/web/web.
http://211.200.31.81/web/web.gif를 자바스크립트로 변환한 것과
디코딩하면 나오는 소스,
다시 디코딩한 내용입니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
cleansugar님의 자세한 설명에 감사드립니다.
cleansugar님! 굉장히 자세히 설명해 주셔서 감사합니다. ^^
뭐~ 이건 이것이다라고 정확한 정답을 제시해 주신것 같은데...
제가 잘 몰라서... ^^; (게다가 게으르고 소심하고 겁도 많아서...) 오늘도 이 코드 분석 중입니다. ^^;
든든한 코드 감사합니다. ^^
P.S. 오늘의 web.gif를 보니 중국친구(?)들이 코드를 업데이트 한것 같아요. ^^;
댓글 달기