본문 바로가기

벌새::Analysis

언더테일 게임 파일로 위장한 PC 자동 종료 주의 (2017.8.14)

반응형

최근 네이버 지식인에 올라온 문의 중 특정 파일을 실행한 후부터 PC가 자동으로 종료되는 증상에 대한 질문이 있어 살펴보도록 하겠습니다.

 

 

질문 내용을 보면 디시인사이드 특정 게시글에서 제시한 링크를 통해 다운로드한 파일을 실행하여 문제가 발생하였다고 언급되어 있습니다.

 

 

  • 언더테일.exe (SHA-1 : 8f4594f6d8eff4c8a2219febf293ba64f4ba2460)

 

해당 게시글은 1년 전에 작성된 글로 해외 특정 파일 서비스에 등록된 언더테일(Undertale) RPG 게임 관련 파일을 다운로드하도록 유도하고 있습니다.

 

 

최초 사용자가 다운로드한 언더테일.exe 파일을 실행할 경우 "C:\Users\%UserName%\AppData\Local\Temp\<Random>.tmp\언더테일.bat" 배치 파일 생성 및 실행을 통해 CMD 모드창을 통해 1차 메시지를 표시합니다.

 

이후 사용자가 키(Key)를 누를 경우 2차 메시지(진짜 설치하시겠습니까? 복돌을 사용하는건 범죄입니다)를 표시합니다.

 

만약 사용자가 의심없이 키(Key)를 누를 경우 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\asdf.bat" 배치 파일 생성 및 "shutdown -s -t 0 -f" 명령을 실행합니다.

 

shutdown -s -t 0 -f

 

- s : 컴퓨터를 종료합니다.
- t : 종료 전 시간 제한 기간(0초)을 설정합니다.
- f : 사용자에게 미리 경고하지 않고 실행 중인 응용 프로그램을 강제로 닫습니다.

이를 통해 PC는 자동으로 종료 처리가 이루어지며 사용자가 PC를 부팅할 경우 시작프로그램 폴더에 등록된 asdf.bat 배치 파일이 부팅과 함께 자동 실행되며, 해당 배치 파일에는 "shutdown -s -t 0 -f" 명령어를 또 다시 실행하여 부팅과 동시에 자동 종료 처리가 이루어집니다.

 

위와 같은 반복적인 PC 자동 종료 문제가 발생할 경우 안전 모드(Safe Mode)로 부팅한 후 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\asdf.bat" 배치 파일을 찾아 삭제하시면 문제가 해결됩니다.

 

단지 Windows 8.1, Windows 10 운영 체제의 경우 기본적으로 특정 비정상적인 부팅 조건이 발생하지 않을 경우 안전 모드 진입이 어려울 수 있습니다.

 

이런 경우에는 사전에 명령 프롬프트(관리자)를 실행하여 "bcdedit /set {default} bootmenupolicy legacy" 명령어를 입력 및 실행하여 사용자가 언제든지 부팅 시 F8 기능키를 클릭하여 안전 모드로 부팅할 수 있도록 설정하시고 사용하시길 권장합니다.

728x90
반응형
  • 냥파스 2017.08.14 21:19 댓글주소 수정/삭제 댓글쓰기

    최종적으로 사용자의 동의를 거친후에 말썽을 일으키는걸 보면
    제작자가 어지간히도 복돌이들이 싫었는가 봅니다.^^

    악성파일이라고 보기도 애매하고
    그냥 옛날에 한창 유행 하였던 조크바이러스의 변종이지 않을까 싶어요.

    이런말 하기는 머하지만 제작자가 조금 귀엾네요.ㅋ;

  • 저런... 2017.08.14 21:30 댓글주소 수정/삭제 댓글쓰기

    복돌러들에게 따끔한 무한재부팅을 선사했군요... --;

  • ㅇㅇ 2017.08.16 14:36 댓글주소 수정/삭제 댓글쓰기

    정품 프로그램을 이용해야 하는 이유죠
    그나마 저정도로 끝났지 만약에 악의적으로 파일 암호화를 하거나 컴퓨터에 있는 정보를 빼가거나 아니면 좀비PC로 만들수 있죠

  • 맥어보이닮은외질 2017.09.05 10:02 댓글주소 수정/삭제 댓글쓰기

    안녕? 난 맥어보이닮은외질이라고해. 리쉬에서 또 보자 ^^

  • 아아... 2018.05.29 00:46 댓글주소 수정/삭제 댓글쓰기

    배치파일 삭제는 어떡해하나요??

    • asdf.bat 배치 파일 삭제는 Windows 탐색기를 통해 해당 파일이 위치한 폴더에 접속하여 삭제하시면 됩니다.

  • ㅇㅅㅇ 2018.11.06 15:04 댓글주소 수정/삭제 댓글쓰기

    저파일 소스코드 볼려면 어떻게 해야하나요?