안녕하세요 6개월 눈팅족 짱구입니다.
2일전에 바이러스를 발견했으나 가입하지 않고 눈팅만한죄로 이제야 글쓰기가 가능해졌습니다.
늦게 올려드려 죄송합니다.
채굴기 운영시에 저를 포함 해시값과 온도 팬사용량만 보고 넘어가시는 분들이 대부분일것입니다.
어제 점검간에 cpu사용률이 급상승한것을 확인하고 분석해본결과를 작성합니다.
아래 그림참조.
cpu마이닝이 가능한 모네로 마이너를 변조하여 사용자의 동의없이 해커의 지갑으로 냠냠하고있는 현장을 목격하였습니다.
시작프로그램에 le1 servise라는 명칭으로 등록되며 현제 v3, 알약등 국산 백신으로는 검출및 치료조차 안됩니다.
악성프로그램 제거 전용툴인 mzk에서는 작동하고있는 프로세스만 중지시키고 직접적으로 서비스를 죽이지 못합니다.
(재부팅하고 나면 다시 살아난다는 이야기입니다.)
vb스크립트를 이용하여 배포 사이트로 접속후 cpu마이너를 설치후 해커의 지갑으로 냠냠 하는 방식으로 작동을 하고있습니다.
삭제 방법은 작업관리자(명령어 taskmgr.exe) 프로세스탭에서 모네로 마이너 변종 프로그램을 (msvc.exe)종료시킨후에
시작프로그램탭 에서 해당서비스를 우클릭한후 서브메뉴에서 사용안함으로 변경후
다시 우클릭 해당폴더로 가서 파일 삭제하면 완료되겠습니다.
앞으로도 종종 cpu사용률을 확인 하여 피해없으시길 당부드립니다.
작일 바이러스 커뮤니티에 신고후 다방면으로 분석한결과 특정사이트 외국(유튜브스크리너, mp3all, kmsauto등)사이트에서 배포
된것으로 유추 되며 추후 많은 변종이 등장할것으로 보여집니다.
이바이러스의 목적은 해커의 이익취득에 있으며 최대한 운영자에게 발각되지 않으려고 최대 cpu점유율은 55%를 넘제않게
코딩되어있는 부분이 확인되었습니다. 이젠 별의별 xx같은것들이 나오네요..ㅠㅠ
알약, v3, 바이로봇등 국내 백신업체에 신고한상태입니다.
빠르게 처리가능한 엔진이 나왔으면 좋겠습니다.