이전부터 IE에서 URL을 잘못치면 이상한 Active-X를 설치할려고 해서 AD-WARE나 비슷한게 깔렸나 하고 의심하던 차에 오늘은 회사의 인터넷이 헷가닥 하면서 자꾸 설치 경고가 뜨고 있었습니다. 인터넷이 안되니 할일도 없고 해서 이놈의 정체를 찾아 봤는데...

만약 IE를 쓴다면 주소란에 "abababab.com" 를 입력해 보세요. 당연히 없는 도메인입니다.(없는 도메인 찾기도 힘들었다는;;) 갑자기 이상한 Active-X 프로그램을 설치하려 한다면 아래의 시나리오대로 움직인 것입니다.

1. 일단 http://abababab.com 를 시도한다. 그리고 실패. (정확히는 네임서버에 해당 도메인을 물어보지만 없다라고 함)
2. (검색엔진을 특별히 바꾼적이 없다면) IE는 MSN 검색을 사용해 봅니다. 물론 아무런 결과도 없기에 실패로 됩니다.
3. 그다음 IE는 이제 자동 suffix 기능이 동작하기 시작하는데 가장 처음에 시도하는 것이 co.kr입니다. 즉 abababab.com.co.kr로 접속하려 하죠. (IE 6.0.2900.xpsp_sp2_gdr.050301-1519 기준)
4. 모든 블라블라.com.co.kr은 하나의 페이지로 접속됩니다. 그 페이지에서 하는 일은 지정된 Active-X를 설치하게 유도합니다.
5. 마치 컴퓨터가 악성코드에 감염된 것처럼 보이고 그와중에 치료를 해 주겠다는 정의의 사도가 등장하는 듯 하지만... 글쎄요...

http://whois.krnic.net 에 com.co.kr 도메인을 검색해 보니 등록자가 있더군요. IE의 기능을 역이용한 상황입니다.

PS. 해당 프로그램이나 업체에 대한 직접적인 평은 피할까 합니다. 하지만 떳떳하지 못한 방법을 쓰는 업체 치고 떳떳한 일을 하는 경우는 드물죠. 자바스크립트를 보니 열여덟이 저절로 나옵니다.

PS2.  com.co.kr을 보니 2015년까지 등록이 되어 있는데 이 부분에 대해선 제재가 있어야 되지 않을까란 생각입니다. 악용해 버리면 수많은 사람들은 그대로 위험에 노출되어 버리니깐요. 사실 지금도 노출되어 있는 상황이네요.

PS3. 위의 예제를 만들때 처음에는 "xxxxxxxx.com"으로 할려고 했는데 페이지가 있더군요. 그래서 'x'의 개수를 늘려가면서 봤는데.. 몇개까지 있을까요? 참 별의별 도메인이 다 있네요.

'일상다반사 > 스크랩핑, 가쉽' 카테고리의 다른 글

울릉도와 독도 잇기 프로젝트  (0) 2006.04.26
ACM ICPC  (2) 2006.04.12
com.co.kr : IE 자동검색의 위험  (8) 2006.04.03
블루투스  (0) 2006.03.30
최근 UV/PV에 대한 분석  (1) 2006.03.27
메모의 백업 - 부록편  (1) 2006.03.24
  1. Commented by hoelog at 2006.04.03 19:57

    random load-balancing.. ㅎㅎ
    http://alksjdflkasjfl.qq.or.kr
    http://kbkaieiw.qq.or.kr
    위 사이트는 뭘 쳐도 다 같은 페이지로 들어가지요. -_-;;
    기억하겠다. 씨네21 -_-+

  2. Commented by zunc at 2006.04.04 01:37

    저도 똑같은 문제로 씨름했던적이 있었는데 IE suffix 기능 때문이란건 지금 알았네요...
    저는 ietoy나 다른 애드웨어나 스파이웨어가 있는거 아닌가하고.....
    결국 원인은 알아내지 못하고 공유기 방화벽에 있는 url 필터를 써서 막아버렸습니다

  3. Commented by Chester at 2006.04.05 03:30

    이런 좋은 글은 어디 널리 알려야 되는데... ㅠ.ㅠ

  4. Commented by MinZ at 2006.07.12 19:51

    훕..이랬던 거였군요...
    전 계속 com.co.kr에 스크립트페이지가 열리길레...
    아무리 치료할레야 치료할수가 없었는데 IE의 검색 기능때문이었군요...@_@

  5. Commented by 나루터 at 2006.12.21 13:52

    정말 좋은 정보입니다. 널리 알렸으면 하는데... 신문 기자분에게 트랙백^^;

  6. Commented by mycom at 2007.01.25 10:59

    글 퍼갑니다~~~

  7. Commented by 투유 at 2007.06.21 09:40

    원인과 치료방법에 대한 글(http://2u.co.kr/tt/95)입니다. 참조하세요.

  8. Commented by 그래알아 at 2007.07.22 16:25

    www.오타도메인쳐바.org 를 입력했더니
    www.오타도메인쳐바.net 를 입력했더니
    www.otadomain.cm 을 입력했더니
    이럴수가????
    그리고 네이버툴바, 다음툴바, 구글툴바를 깔고
    www,otadoamin,com 을 입력했더니
    저럴수가????
    막상막하네!!!