그런데.. 어떤 분이 알약에서 BScroll.js가
Trojan.JS.PWA로 경고뜬다는 글을 보고,
BScroll.js를 받아서 www.virscan.org로 검색도 해보고,
[BScroll.js파일 Virscan.org에서 검사결과] http://keben.kbench.com/talk/?bc=1&code=2302142
[BScroll.js에 추가된 이상한 문자열.]
http://keben.kbench.com/talk/?bc=1&code=2302161
BScroll.js에 추가된 이상한 문자열을XMP태그를 이용하여 내용을 보기도 했습니다.
(해석된 내용이 무엇을 하려는 것인지는 잘 모릅니다.ㅠㅠ)
해석된 내용을 개행된 부분정도만 편집해서 HTML파일로 저장할때
avast 실시간 감지에서 트로이목마 경고를 냈고,
해석된 내용중.. 링크에 2008051464540.flv 파일의 링크가 있어서
그 파일을 다시 virscan.org로 검사했는데,
총 36개의 바이러스프로그램 중에 16개 프로그램에서 진단되었습니다.(44%),
파일형식이 MS-DOS Executable로 나와 실행파일인 것 같은 생각이 들어
Exe파일로 변경하고 실행해봤습니다.
그러자 이것도 avast실시간 감지에서 트로이목마가 발견되었다고 하더군요..
BScroll.js의 이상한 문자열 내용은 의심스럽지만,
avast에서 그동안 메시지를 본적이 없는 것으로 봐선.. 실제로 flv 파일이 전송된 적은
없는 것 같습니다. (avast 웹스캐너 및 다른 실시간 감지도 실행하고 있었거든요.)
[BScroll.js 이상한 문자열부분 그나마 보이게.. ] http://keben.kbench.com/talk/?bc=1&code=2302182
처음 그문제가 신고되고나서 BScroll.js 파일내부의 이상한 문자열 부분은 없어지는 듯했으나..
커뮤니티 사이트 방문시 가끔식 6KB의 이상한 문자열이 추가된 BScroll.js를 받게 될때가 있는데,
이상한 문자열이 없을 때는 1KB정도의 크기 / 있을 때는 6KB의 크기.
이상한 문자열이 포함된 6KB크기 일때는
특이하게도 어떤 추가기능을 실행하는 메세지가 나옵니다.
[추가기능 문제 관련 김기철님 글.]
http://keben.kbench.com/talk/?bc=1&code=2302387
추가기능 실행을 물을때 명령프롬프트에서
dir /s BScroll[?].js 명령을 내려보면..
Temporary Internet Files 경로 하단에
어느 한 파일이 6KB인 것을 확인 할 수 있을 것입니다.
그 때 6KB의 BScroll[?],js의 파일을 노트패드로 열어 (?의 내용은 1이나 2일 수 있습니다.)
notepad [6KB크기의 BScroll[?].js 파일경로+파일명]
맨 아래부분의
S(); <--(이상한 문자열을 해석해서 실행하기위한 함수 실행부분 같습니다.)
이 부분을 공백문자 4개로 바꿔서 파일 크기를 그대로 유지한체로 저장해서
(파일 크기가 다를경우는 웹페이지에서 다시 다운로드 하더군요.)
함수 실행을 하지 않으니 추가기능 실행여부를 묻지 않았습니다.
이상한 문자열이 담긴 6KB를 가끔씩 받게되는 원인을 잘 모르겠지만
빨리 해결되었으면 좋겠네요..
위 그림은 xmp태그로 출력된 코드를 html.txt로 저장 후 검사해봤는데..
검출되는군요..
2008-06-19 16:27:50
댓글 없음:
댓글 쓰기