mir.pe (일반/어두운 화면)
최근 수정 시각 : 2024-02-16 05:18:48

goggle.com

1. 개요2. 상세3. 변천사4. 시연 영상5. 여담
5.1. nslookup 결과

1. 개요



2005년부터 2006년까지 존재했던, 접속했다간 엄청난 바이러스를 먹게 되어버리는 것으로 유명했던 세계적으로 제일 악명높은 바이러스 사이트였다.

2. 상세

보통 사람들은 구글에 들어가기 위해 주소창에 google을 쓰려다가 실수로 goggle로 잘못 쓰는 경우가 많아서 그 점을 이용해서 만든 것으로 추정된다. 그 사이트에 들어가면 치료가 안 되어서 그냥 컴퓨터를 포맷해야 한다. 개발자는 따로 밝혀지지 않았으며, 같은 바이러스 yhaho.com[1](야호) 등 링크가 있다. 한때는 tango-deg.com이라는 사이트로 리다이렉트되었는데, XSHM 기법으로 무한 광고창을 시전했다.[2]

사실 처음부터 goggle.com이 바이러스 사이트인 것은 아니었다. goggle.com의 도메인 등록일은 1998년 2월인데, google.com의 도메인 등록일은 1997년 9월, 단 5개월 차이다. 게다가 구글이 시장에 출범한 시기는 1998년 그 후인걸 보아, 원래는 바이러스 사이트가 아니었으나 구글이 인기를 얻은 이후 도메인이 팔리고 바이러스 사이트로 바뀌었을 것이다.

웨이백 머신에서 아카이브가 막혀 있으나 archive.is에서는 아카이브가 된다.

주소 창에 사이트 이름을 적으려면 반드시 오타를 피하고 적어야 한다. 다 치고 나서도 제대로 입력했는지 다시 한번 꼭 정확히 확인해야 한다. 요즘은 바이러스 사이트에 들어가면 미리 경고를 하고 차단한다.

3. 변천사

한때 북유럽산 불법 도박 사이트로 위장하기도 했다.

2011년 6월 28일 # 제목은 Survey 2011이고 설문조사에 참여하면 Macbook Air®, Apple iPhone 4®, iPad 2® 중에 하나를 얻을 수 있다고 되어 있다. 시작 버튼을 누르면 성별, 위치, 인터넷 사용 시간을 물어보고 마지막에 참여해줘서 감사하다고 하며 얻을 수 있는 상품을 보여준다.

2012년 5월 25일 # 제목은 Congratulations!이고 Apple iPad 2®, Apple iPhone 4S® 중에 하나를 선택할 수 있다. 2011년과는 화면이 다르다.

2013년 9월 30일 # 다시 2011년의 설문조사가 돌아왔다. 제목은 Survey 2013이고 설문조사에 참여하면 MacBook®, iPhone 5®, New iPad® 중에 하나를 얻을 수 있다고 되어 있다.

2014년 6월 26일 # 404 오류가 난다.

2015년 1월 2일~3월 1일 # # 제목은 Survey 2015고 상품이 iPad Air®, iPhone 5c®, $1000 Gas Card®로 바뀌었다.

2015년 3월 25일 # 상품이 Android Tablet®으로 바뀌었다.

2016년 1월 6일 # 제목은 Survey 2016이고 상품이 Mercedes®, BMW S1®, Audi A1®로 바뀌었다.

2016년 2월 20일 # €250 REWE gift card®, iPhone 6®, €250 Amazon gift card®가 되었다.

2016년 5월 7일 # €10,000 of Carrefour®, Castorama®, Amazon®, BP® vouchers가 되었다.

2016년 5월 13일 # HD Streaming Movies®가 되었다.

2016년 6월 2일 # iPhone 6®, iPad Air 2®, iPhone 6 Plus®가 되었다.

2016년 9월 23일~11월 20일 # # goggle에 대한 가짜 백과사전 정보[3]가 나오는 쇼핑몰이 되었다. 상품을 클릭하면 아마존의 상품으로 연결된다.

2017년 3월 21일~5월 19일 # # 상품이 다 사라졌다. 상품이 있던 자리에는 Warning/var/www/html/core/includes/product-display.php20 이라고 써 있다.

2017년 10월 2일~2018년 2월 5일 # # goggle이라는 텍스트만 딸랑 적혀있다.

2018년 2월 18일에는 12년 기념 쇼핑몰로 위장했다.

2018년 4월 기준으로 ubuntu에서 접속하면 http://tango-deg.com/goggle.com?adTagId=7ecd49e0-3222-11e8-a69e-0aa8d9a7e1be로 리다이렉트 된 후 404 오류가 난다.

2018년 6월에는 처음 접속 시에는 https://simplefx.com으로 리다이렉트되지만 그 후 접속으로는 tango-deg.com으로 리다이렉트되면서 404 오류가 난다. 참고로 tango-deg.com도 바이러스 사이트다.

2018년 8월 1일~10일 # # 여기로 리다이렉트되고 자동차에 관한 뉴스가 나온다.

2018년 12월 18일 # Goggle.com Inc.라고 써 있다. 참고로 Goggle.com Inc.는 없는 회사다.

2019년 3월 11일 # https://www.top5-bestmealdelivery.com/?plcmt=goggle.com&utm_source=mrbb로 리다이렉트되고 음식 배달 서비스 5위에 대해 나온다.

2019년 7월 28일~8월 17일 # 다시 Goggle.com Inc.라고 써 있다.
파일:스크린샷 2019-08-17 오후 8.20.38.png

2019년 10월에는 http://www.timsphotos.com/mobilepresets?affiliate_id=2001781로 리다이렉트 된다.

2019년 10월 29일~2020년 1월 17일 # # 여기로 리다이렉트되며 나이와 성별을 물어보는 투표가 나온다.

2020년 1월 22일에는 blog.goggle.com으로 리다이렉트되어 2020년 미국 대통령 선거에 대해 다루는 블로그가 뜬다.

2020년 2월 7일~7월 7일 # # 여기로 리다이렉트되며 나이와 성별을 물어보는 투표가 나온다.

2020년 9월 11일~2021년 4월 30일 # # goggle에 관한 가짜 백과사전 정보[4]가 나오는 블로그가 되었다. 2020년 12월에는 goggle이 예상했던 대통령이 뽑혔다고 자랑하는 글이 메인 화면에 고정되었다.

2021년 7월 8일~2021년 10월 # 여기로 리다이렉트되며 나이와 성별을 물어본다. 위쪽에 당신의 의견은 중요하며 참여해줘서 감사하다고 써 있다. 남자면 male, 여자면 female에서 자신의 나이를 클릭하면 다음 페이지로 넘어가며 지금 비트코인을 구매할 것인지 비트코인에 대하여 어떻게 생각하는지 묻는다. 다 답하고 나면 마지막에는 "감사합니다"라고 나온다.
파일:goggle1.png

2021년 11월~2022년 6월 23일 # 다시 blog.goggle.com로 리다이렉트된다. 이 블로그의 기록을 보면 이 블로그는 2019년 11월 1일에 처음 시작했고, 블로그 이름은 Goggle.com Inc.이며, RIWI와 협력해서[5] 세계 여러 곳의 정치 데이터들을 예측할 것이라고 써 있다. 이 블로그는 2020년까지 2020년에 당선될 대통령을 예상하는 글들을 올리다가 2020년 12월 7일 예상했던 대통령이 뽑혔다며 자랑하는 글을 올린 이후로 더 이상 글이 올라오지 않고 있다.[6]

2022년 8월 4일~9월 30일 # # https://rotd.hibid.com으로 리다이렉트된다. 사이트 이름은 Right Of The Dot다.

2023년 현재 접속이 되지 않는다.

2023년 10월 15일 기준으로 WHOIS 조회 시 소유자가 Google LLC로 나오는 것이 확인되었다. 아마도 도메인이 만료된 이후 구글 측에서 도메인을 인수한 것으로 보인다. 다만 구글로 리다이렉트되지는 않고 있다.

4. 시연 영상


팝업이 미친듯이 올라오는 것을 확인할 수 있는데 접속한 뒤부터 영상을 배속시킨 것이므로 실제로는 속도가 약간 느리다. 어디까지나 약간 느릴 뿐이지, 절대적으로 따지면 여전히 빠른 편이므로 사용자가 손을 쓸 수 없는 수준이다. 사이트 자체의 동작 메커니즘은 단순히 팝업창을 미친듯이 띄워대는 것이지만, 당시 Windows NT 계열 운영체제에 존재했던 Metafile Image Code Execution이라는 보안 취약점을 악용하여 악성코드가 컴퓨터에 미친듯이 침투하게 되었다.

영상 후반부에 나오는 Spysheriff는 허위 백신인 멀웨어 겸 애드웨어로, 이 녀석이 이 사이트를 통해 들어오는 모든 멀웨어의 기폭제가 되었다. Norton Security와 멀웨어 위키에서도 바이러스로 분류하고 있다.

네이버에서는 이 이야기가 루머라고 떠돈 적이 있으며 해당 동영상도 임의로 만들어냈다고 생각하는 사람들도 많다. 하지만 댓글란의 증언들도 그렇고 백신이 차단하는 경우도 있어 사실일 가능성이 높다. 아마 국내에서는 당시 구글의 점유율이 낮은데다가 구글을 쓰는 사람들도 네이버 등에 구글을 검색해서 들어가거나, 도메인을 직접 입력하는 경우에도 google.com이 아닌 google.co.kr을 사용하였기 때문에[7] 이런 일을 겪을 가능성이 매우 낮아서 오해한 것이 아닌가 싶다.

위 영상에서는 블루스크린이 녹화가 되었는데, 영상을 자세히 보면 VMware Workstation의 인터페이스를 확인할 수 있다. 가상머신을 사용하지 않고 부팅 화면이나 바이오스 셋업, 블루스크린 등을 녹화하려면 스플리터를 사용하여 한 컴퓨터의 그래픽 카드 출력단자를 다른 컴퓨터의 캡처보드 입력단자에 연결하면 된다.

5. 여담

구글은 이런 오타 등을 염두에 둔 탓인지 오타를 낸 경우에도 리다이렉트로 연결되도록 수많은 도메인을 확보해 놓았다. 그 중 gooogle.com의 경우 사칭 바이러스 사이트에서 리다이렉트 사이트가 된 특이 케이스.

멀웨어 피싱을 자세히 설명하면 한때 goggle.org로까지 치밀하게 바꿔서 위의 동영상에서 보이는 충격의 바이러스를 다시 감염시킨 적이 있었으나 그것마저 막고 goggle.com으로 리다이렉트시켰다. 하지만 이게 멀웨어사이트라는 건 아직 감지를 못한 듯 보인다. 크롬에서는 바이러스 감염 위험이 존재하는 사이트에 대해 접근 제한을 미리 쳐놓는 경우가 있는데 이 사이트는 제외가 되어 있으니 조심해야 한다. 아마도 정상적인 사이트로 리다이렉트되는 경우도 있기 때문인걸로 추측된다.

파일:goggle_virus.png
2021년 8월 14일 기준 바이러스 토탈로 검사하면 위험한 바이러스가 있다고 인식한다.

5.1. nslookup 결과

webmaster@Mainframe:~$ nslookup google.com
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	google.com
Address: 173.194.33.39
Name:	google.com
Address: 173.194.33.40
Name:	google.com
Address: 173.194.33.41
Name:	google.com
Address: 173.194.33.46
Name:	google.com
Address: 173.194.33.32
Name:	google.com
Address: 173.194.33.33
Name:	google.com
Address: 173.194.33.34
Name:	google.com
Address: 173.194.33.35
Name:	google.com
Address: 173.194.33.36
Name:	google.com
Address: 173.194.33.37
Name:	google.com
Address: 173.194.33.38

webmaster@Mainframe:~$ nslookup goggle.com
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	goggle.com
Address: 162.242.150.89
Name:	goggle.com
Address: 176.34.241.253
Name:	goggle.com
Address: 23.253.58.227

webmaster@Mainframe:~$ nslookup gooogle.com
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	gooogle.com
Address: 173.194.33.18
Name:	gooogle.com
Address: 173.194.33.19
Name:	gooogle.com
Address: 173.194.33.20
Name:	gooogle.com
Address: 173.194.33.16
Name:	gooogle.com
Address: 173.194.33.17



[1] 현재는 도메인 호스팅이 만료되어 죽은 상태. [2] tango-deg.com도 현재는 도메인이 죽었다. [3] GOGGLE gog·gle | ˈɡäɡəl/ {verb} 1. look with wide open eyes, typically in amazement or wonder. [4] GOGGLE: /ˈɡäɡəl/ – verb 1. look with wide open eyes, typically in amazement. [5] 이 회사는 실제로 글로벌 트랜드 예측을 하는 회사이나, Goggle.com과 협력하는지는 알 수 없다. [6] 주장 상 10표밖에 차이가 안 났다고 한다. [7] 당시에는 google.com으로 접속하면 미국 구글로 접속돼서 언어가 영어로 나왔다. 그래서 한국 구글에 접속하려면 google.co.kr로 접속해야 되었고, 그 외의 국가들도 google.co.jp(일본), google.com.tw(대만), google.fr(프랑스), google.it(이탈리아) 등으로 접속해야 했다. 현재는 IP주소와 브라우저 언어 설정을 인식해서 언어와 지역이 자동으로 설정된다.

분류