현재 몇몇 유저분들께서 증상을 겪고 있는 P2P 멀웨어 관련해서 아이원스튜디오의 문실장님께서 증상 및 치료 방법에 대한 포스팅을 작성해주셨습니다.
중요한 사안인만큼 외부 공유를 허용해주셔서 유저그룹에도 작성합니다. 좋은 자료 제공해 주셔서 감사드립니다.
아래는 HFX 카페에서 작성된 게시글 내용입니다. 원문을 참고하고 싶으신 분들은 아래 링크로 확인해주세요.
https://cafe.naver.com/hfx/2824
이 글은 cafe.naver.com/hfx에서 작성하였고 피해를 막기위해 저작자를 내용에 포함하여 외부 공유가 허용됩니다.
최근 유저에게서 바이러스에 감염된 것 같다는 질문을 받았습니다. 증상은 다음과 같습니다.
상황에 따라 다르지만 아무것도 하지 않고 있는데도 GPU팬 및 CPU팬이 과도하게 회전합니다.
(GPU팬 및 CPU팬이 과도하게 회전한다는 것은 무엇인가 백그라운드에서 프로세싱을 한다는 의미임)
이 후 유저가 컴퓨터의 프로세싱 상태를 보기 위해 Task Manager(작업관리자)를 띄우면 거짓말 처럼 팬이 조용해 진다는 것 입니다.
구글링으로 동일 사례를 찾았고 유저에게 질문을 던져보니 유사한 환경이었습니다.
어쩌면 최근 아무것고 하지 않아도 GPU VRAM이 과도하게 사용된다는 사례하고도 연관이 있을 수 있습니다.
이 Malware는 Task Manager를(또는 유명 유사 프로그램) 띄우면 이를 인식하고 프로세스가 숨어 버리기 때문에
컴퓨터 및 OS에 대한 지식이 충분하지 않으면 이를 고칠 수 없다는 것이 문제 입니다. 최근 사례에서 대표적인 범인은 uTorrent입니다.
uTorrent를 삭제해도(언인스톨) 여전히 작동하므로 아래의 과정을 따라 점검해 보세요.
uTorrent 설치 프로그램에 탑재돼 배포되는 Malware는 컴퓨터의 백그라운드 서비스를 다루는 svchost.exe를 이용합니다.
오래 전에도 uTorrent 설치 프로그램에 숨어 있는 Coin Miner가 있어서 큰 문제였는데 또 문제가 되는가 봅니다.
주의 : svchost.exe(Service Host)는 Windows OS에 탑재된 정식 프로그램이므로 삭제하면 안됩니다.
감염 여부 확인은 먼저 컴퓨터가 유휴 상태일때도 CPU 및 GPU팬이 과도하게 회전하는지를 체크합니다.
NZXT Cam 같은 모니터링 프로그램을 설치하고 Top Process 최상단에 svchost가 CPU 또는 GPU를 100%를 점유하는지 확인합니다.
위에서 설명했듯 Task Manager류의 유명 프로그램을 띄우면 이를 인식하고 숨어 버리므로 찾을 수 없습니다.
(NZXT Cam은 프로세싱 상태를 볼 수는 있지만 Task Manager처럼 프로세스를 종료하는 기능이 없습니다)
만약 uTorrent 설치 프로그램에 탑재돼 배포되는 Malware(svchost를 이용하는) 감염이 확인되면 아래의 과정을 따라 합니다.
01. 만약 uTorrent를 가지고 있다면 프로그램을 언인스톨 합니다.
02. 아래 디렉토리로 이동해 uTorrent 바로가기를 삭제합니다.
C:\Users\유저이름\AppData\Roaming\Microsoft\Windows\Start Menu
이 바로가기가 말웨어를 설치하는 셋업 파일 입니다. 삭제하고 반드시 휴지통 비우기를 합니다.
(NZXT Cam은 프로세싱 상태를 볼 수는 있지만 Task Manager처럼 프로세스를 종료하는 기능이 없습니다)
*이런 부류의 위협을 검사하고 빠르게 찾으려면 GridinSoft Anti-Malware가 도움이 됩니다. (LINK)
GridinSoft Anti-Malware를 설치하고(정품 등록등은 건너 뛰어도 됨) Scan(검사)를 누르면 위협 요소만을 빠르게 찾을 수 있습니다
03. Control Panel > Administrative Tools > Task Scheduler를 엽니다.
왼쪽 창에서 Task Scheduler Library > Microsoft > WindowsBackup으로 이동합니다.
오른쪽 창에 등록된 User라는 태스크를 삭제합니다. 컴퓨터를 재시동합니다.
04. 아래 경로의 hosts파일을 바탕 화면에 복사 후 Notepad로 열어 리디렉션한 부분을 삭제합니다.
저장 후 다시 원래 위치에 덮어쓰기 합니다. 또 해당 폴더에 있는 hosts.tmp_ 및 hosts.x 파일은 삭제합니다.
hosts파일은 192.168.0.100 test.com처럼 특정 인터넷 주소를 리디렉션하는데 사용하고 모든 OS에서 사용하는 기능입니다.
이 말웨어에 감염되면 특정 주소... 즉 바이러스를 감염을 치료할 수 있는 프로그램 사이트에 접속을 막고
자신의 주소를 우회하는 감염 PC내 주소로 리디렉션 합니다.
C:\Windows\System32\drivers\etc
감염이 없는 hosts 파일
감염된 hosts 파일
주의 : 여기까지 과정은 사용자마다 주소가 다를 수 있습니다.
Malware의 위치가 같으면 과정을 따라하고 02, 03의 주소가 다르면 GridinSoft Anti-Malware설치하고 스캔하여
제공하는 스캔 정보를 참고하십시오. 토렌트 계열 프로그램이 꼭 필요하면 Transmission이라는(LINK)를 사용 하십시오.
참고로 이 태스크에 등록된 Scripts를 보면 다음과 같습니다.
먼저 시스템이 시작하면 이 태스크를 시작하고 아무런 경고도 없게 하며 태스크를 종료하면 다시 시작하게 하고 Task Manager등의 프로그램이 뜨면 유휴 상태가 되도록 만듭니다.
조건이 충족하면 마이닝을 시작하고 컴퓨터에서 코인 관련 키워드 및 작업이 발견되면 정보를 상대에게 전송합니다.
[출처] OS : Malware Warning - uTorrent (P2P Hidden Coin Miner) (HFX) | 작성자 eyeonestudio