조낸 골 때린다.

뭣하다가 걸린 것인지 도저히 모르겠는데, 가끔 사용하는 작업용 PC에서 인터넷으로 특정 사이트에 접속하면
난데없는 빈 팝업창이 새로 나타나고 화면을 가려버리는 광고가 나와서 뭘 하질 못하게 한다.
(모든 사이트에서 다 그런 것도 아니고, 특정 사이트 몇몇 곳에서만 그런 현상이 발생한다...)

광고는 대부분 sharing-wedding.com 사이트 광고

그 정도에서 끝났으면 대충 참고 넘어가려고 했는데(어차피 잘 안 쓰는 작업용 PC라...)
언젠가부터 그 영향으로 인터넷이 엄청나게 느려지는 게 아닌가?
1초면 뜨는 페이지가 30초 이상 걸려서 타임아웃 걸리게 한다든가... 등등

무려 2주 이상 이 문제로 귀찮음을 겪은 끝에 결국 스스로 해결해 보기로 했다.

 

먼저, 인터넷 검색.

sharing-wedding.com이나 deloplen.com 스크립트 등으로 검색하면 외국 멀웨어 설치 프로그램 사이트만 나왔다.

멀웨어 제거 프로그램 사이트가 아닌, 멀웨어 설치 프로그램들! ㄷㄷ

미친...

 

결국,

아무리 뒤져봐도 도저히 답을 구할 수가 없어서 직접 맨땅에 헤딩하면서 해결해 보기로 했다.
(아니, 이런 문제는 나만 겪는 문제인가? 그럴 리가 없는데, 왜 관련 글들이 없을까...)

문제의 광고가 나타날 때 소스보기로 페이지를 보니 멀쩡한 웹 페이지에다 스크립트를 두 군데 추가로 심어놨는데
하나는 /newswedpxy/js/hk.js 스크립트를 <body> 태그가 시작되는 바로 뒷부분에,
또 하나는 맨 끝에 /pages/imevrstk.php?qd=BTB&.... 어쩌구 들어가는 링크를 포함하는 스크립트를...

희한한 것은... 링크 걸린 스크립트 및 페이지는 해당 웹 사이트와 아무 관련이 없었다.
즉, 다른 깨끗한 PC에서 접속해보면 해당 웹 사이트에 실제로 존재하지 않는 페이지들인데
광고 웜 바이러스에 감염된 PC에서는 버젓이 콘텐츠가 살아서 다운로드되는 링크들인 것.

예를 들면 이렇다.

https://1.1.1.1/newswedpxy/js/hk.js

https://www.tistory.com/pages/imevrstk.php?qd=BTB

이렇게 실제로 존재하는 아무 웹 사이트에다가 위 두 가지 경로, 실제로는 존재하지 않는 경로들을 넣으면
해당 스크립트 또는 광고 콘텐츠가 떡! 버젓이 나타난다! 마치 해당 웹 사이트가 해킹이라도 된 것처럼!

정말 이해할 수가 없었다. 어떻게 그게 가능한 것일까?

magnet://이나 http:// 처럼 URI Scheme 프로토콜 처리기로 동작하는 것도 아니고
.js나 .php 확장자 처리기로 동작하는 것도 아닌데 대체 어떻게?

웹 사이트를 해킹하지도 않고 PC 브라우저 확장 프로그램도 아니면서 그것이 어떻게 가능한 것일까?
(웹 사이트도 정밀 체크해 봤고, 심지어 IE 확장 프로그램도 다 끄고 체크해 봤다. 모두 아니었다.
크롬 브라우저에서도 똑같은 현상이 생겼으니까 당연히 IE 확장 프로그램의 문제가 아닌 것.)

백신으로는 당연히 못 찾아냈고,
프로세스 모니터(ProcMon - SysInternals)를 한참을 돌려도 봤지만 별 특이한 것을 발견할 수 없었고,
실제로 사용하지 않는 모든 인터넷 연결을 방화벽 및 hosts 파일 조작으로 일일이 차단도 해 봤지만
그것 역시 별 효과가 없었다.
(아니, hosts 파일 조작은 실제로 효과가 있긴 했다. 광고가 더 이상 뜨지 않고 인터넷도 빨라졌으니까.)

hosts 파일에서 블럭 처리한 도메인 목록
deloplen.com
sharing-wedding.com
www.indulgepassion.site
cdn.viglink.com
api.viglink.com
cpro.baidustatic.com
pic.english.c-ctrip.com

 

그런데, 이런 저런 테스트를 막 하다 보니 어느새...

거짓말처럼 광고가 나타나던 증상이 사라졌다.
위에서 언급했던, 이상하게 접속되던 URL도 더 이상 접속되지 않고. 깨끗해졌다. ㄷㄷ

엥? 문제가 해결이 된 것일까? 왜 갑자기...?

벙~

 

PC를 재부팅하고 다시 해봤다.

광고가 다시 나타난다...... 하아... 해결이 되지 않는다.
지능형 웜 바이러스인가? 관련 URL과 프로세스를 자꾸 뒤져보면 스스로 작동을 중지하고 숨기게 만드는?
그럴 리가... ㅎㅎ 아직은 21세기초일 뿐이다. 해커의 원격 놀이터가 된 기분... ㅆㅂ

그나저나...

정녕 포맷 말고는 답이 없단 말인가!?

 



Posted by 🐮Thermidor™ 떼르미

댓글을 달아 주세요

  1. 엘케이 2019.06.19 11:29  댓글주소  수정/삭제  댓글쓰기

    죄송하지만 아직 미해결인가요??ㅠ

  2. zogh 2019.07.02 09:00  댓글주소  수정/삭제  댓글쓰기

    와 진짜 빡치네요 포맷만이 답인가요 어디에도 흔적이 없어요

  3. zogh 2019.07.19 14:21  댓글주소  수정/삭제  댓글쓰기

    http://blog.naver.com/donza/221589159806
    이걸로 완전히 해결봤습니다. 기념으로 포스팅해놨어요 ㅎㅎ

    • 🐮Thermidor™ 떼르미 2019.07.19 14:26 신고  댓글주소  수정/삭제

      ㅋㅋㅋ 진짜 고생 많이 하셨네요. 매 단계마다 고생하신 흔적이 보이네요. 그나마 5단계에서 성공하셔서 다행입니다. 저는 그것도 해봤지만 안돼서 결국 포맷을... ㅜ,.ㅜ



자바스크립트를 허용해주세요!
Please Enable JavaScript![ Enable JavaScript ]