본문 바로가기

벌새::Software

임시 폴더(%Temp%)에 생성된 svchost.exe 파일의 정체 (2016.6.9)

바이러스 제로 시즌 2 보안 카페 회원 중에서 임시 폴더(%Temp%)에 생성된 svchost.exe 파일이 랜섬웨어(Ransomware)와 관련된 파일이 아닌가 의심하는 글이 올라와서 확인을 해보았습니다.

 

 

생성된 "C:\Users\%UserName%\AppData\Local\Temp\svchost.exe" 파일의 특이점을 살펴보면 숨김(H) / 읽기 전용(R) 속성값을 가지고 있으며 28 바이트(Bytes)의 사실상 실행되어도 아무런 기능을 하지 않을 가능성이 있습니다.

 

특히 읽기 전용(R) 속성값으로 인하여 의심스러운 svchost.exe 파일을 VirusTotal에 업로드도 이루어지지 않기에 더욱 의심을 한 것 같습니다.

 

하지만 바이러스 제로 시즌 2 보안 카페 매니저님이 해당 파일이 하우리(Hauri) 보안 업체에서 제공하는 랜섬웨어 예방툴(RansomProtector)이 적용된 경우 생성되는 파일로 보인다고 언급해 주셔서 확인해 보았습니다.

 

 

랜섬웨어 예방툴(RansomProtector)은 CryptXXX, Locky 랜섬웨어에 대하여 트릭(Trick)을 통해 감염되지 않도록 개발된 예방툴입니다.

 

 

다운로드한 랜섬웨어 예방툴(RansomProtector)을 실행할 경우 임의의 파일 생성 및 레지스트리 값 추가를 통해 CryptXXX, Locky 랜섬웨어 감염 시 사전에 감염된 PC 또는 특정 환경처럼 속이는 역할을 수행합니다.

 

이 과정에서 생성된 파일 중 하나가 "C:\Users\%UserName%\AppData\Local\Temp\svchost.exe" 파일이며, 이런 부분을 몰랐을 경우 악성 파일에 감염된 것이 아닌가 의심을 할 수 있습니다.

 

랜섬웨어 예방툴(RansomProtector)은 분명 일부 랜섬웨어(Ransomware) 감염으로부터 회피할 수 있는 방법 중의 하나는 분명하지만 변종 또는 다른 계열의 랜섬웨어인 경우에는 효과가 없으며, 프로그램 구조 자체가 새로운 업데이트가 존재할 경우 사용자가 파일을 재다운로드하여 설치해야합니다.

  • 미루 2016.06.11 14:53 댓글주소 수정/삭제 댓글쓰기

    하우리 랜섬웨어 예방툴은 부팅때마다 매번 실행해야 하나요?

  • 미루 2016.06.11 17:14 댓글주소 수정/삭제 댓글쓰기

    그럼 램디스크 사용자의 경우에 어떤가요?
    대부분 임시폴더(Temp)까지 옮길텐데..

  • 미루 2016.06.11 19:34 댓글주소 수정/삭제 댓글쓰기

    재부팅후 생성된 svchost.exe 파일이 없어도 상관없나요?
    램디스크는 재부팅후 폴더 내용이 삭제되니까요.
    아니면 램디스크에서 임시폴더(Temp) 해제 후 -> 재부팅후 하우리 랜섬웨어 예방툴 실행 -> 램디스크 임시폴더(Temp) 설정
    이렇게 하면 괜잖을까요?
    그리고 멀웨어 바이트에서 Trojan.Agent.Gen라고 검사하네요.
    예외 처리하면 되는데..멀웨어 바이트를 비롯해서 다른 보안프로그램의 예외처리는 어떤 방식으로 이루어 지나요?
    파일명만 보나요? 아니면 서명이나 인증서, SHA256 같은 것도 같이 보나요?
    뭐가 오늘 계속 질문만 하네요...

    • 램 디스크를 통해 임시 폴더를 휘발성 디스크로 사용하는 경우에는 해당 예방툴은 도움이 되지 않을겁니다.

      그리고 Malwarebytes 진단은 오진이며 그냥 분석도 제대로 하지 않고 파일 위치로 진단하는 다소 무식한 진단 방식 같습니다.

  • 미루 2016.06.11 23:28 댓글주소 수정/삭제 댓글쓰기

    감사합니다...즐거운 주말보내세요..

  • 이게 바이로봇의 랜섬웨어 방어 파일이었군요...

  • 바보ㅠ 2016.06.13 12:23 댓글주소 수정/삭제 댓글쓰기

    저 5월 3~4주 쯤에 Crypt 3.0 랜섬웨어 걸릴 때 SVCHOST.exe 이거 관리자 권한 실행 눌러서 그대로 다 날라갔어요ㅠ
    처음엔 svchost 이거 취소 눌렀는데도 계속 무한반복으로 창이 뜨길래 의심스러워서 그냥 시스템을 종료해서 괜찮았었는데 그 다음날 밤에 한글 문서 작성하는 중에 저게 또 떠서 너무 귀찮아서 실행 눌렀더니 갑자기 컴퓨터가 느려지더니ㅠㅠㅠㅠㅠ 1TB가 그냥 싹 다 날라갔어요ㅠㅠㅠㅠ
    지금은 희망을 버리지 않고 울지않는 벌새님 블로그 꾸준히 들어와서 백신 정보 보고 확인하고 있구요ㅠㅠ 그 노트북 잠시 창고에 박아두고 있어요ㅠㅠㅠ 노트북 열기만 해도 너무 눈물이 나와서ㅠㅠ
    아무튼 벌새님 언제나 감사히 잘 보고 있습니다ㅠㅠ

  • 초롱이 2016.06.19 21:09 댓글주소 수정/삭제 댓글쓰기

    스팀 프로그램 파일들 중에 libx264-142.dll.crypt 가 libx264-142.dll.md5와 같이 있는데
    이건 정상인가요 아니면 바이러스인가요??