본문 바로가기

벌새::Analysis

run.vbs / Windows Defender.exe 파일을 찾을 수 없다는 메시지의 정체 (2018.9.5)

최근 네이버 지식인을 통해 올라오는 질문 중 run.vbs 또는 Windows Defender.exe 파일을 찾을 수 없다는 메시지가 지속적으로 생성되는 문제로 고생하는 분들이 있는 것 같습니다.

 

실제 어떤 경로로 감염이 이루어졌는지는 알 수 없지만 아마도 토렌트(Torrent) 파일 공유 서비스를 통해 다운로드한 파일을 실행할 경우 몰래 설치된 환경 중 백신 프로그램에 의해 일부 악성 파일이 삭제되어 발생하는 것으로 보입니다.

 

 

스크립트 파일 "C:\Users\%UserName%\AppData\Roaming\Windows Defender\run.vbs"을(를) 찾을 수 없습니다.

 

'C:\Users\%UserName%\AppData\Roaming\Windows Defender\Windows Defender.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.

우선 감염된 환경에서 run.vbs 또는 Windows Defender.exe 악성 파일이 삭제된 경우 Windows 부팅 이후 2분 단위로 "Windows Script Host" 메시지 창이 반복적으로 생성될 수 있습니다.

 

감염 과정(2018년 8월 31일 샘플 기준) 중 파일 생성 및 동작 과정을 살펴보면 우선 숨김(H) +시스템(S) 폴더 속성값을 가진 "C:\Users\%UserName%\AppData\Roaming\Windows Defender" 폴더를 생성하여 내부에 다음과 같은 파일을 생성합니다.

 

참고로 Windows Defender 백신 프로그램의 정식 설치 경로는 "C:\Program Files\Windows Defender" 폴더입니다.

 

 

해당 폴더 내에는 1차적으로 7-Zip 압축 모듈, 비밀번호로 보호된 .7z 압축 파일, 배치 파일(.bat) 및 스크립트(.vbs) 파일이 존재합니다.

 

dwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs

 

먼저 dwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs 스크립트 파일(SHA-1 : cd0386a5c5df8845202cb733790d67fe0d93edba)이 실행되어 dwge0E7M515s6FzFXS8pkbX9I5M6Nv.bat 배치 파일(SHA-1 : b1b7a8d2f82897c3b77bac44a480444b05f4e81c)을 실행시킵니다.

 

dwge0E7M515s6FzFXS8pkbX9I5M6Nv.bat

 

실행된 dwge0E7M515s6FzFXS8pkbX9I5M6Nv.bat 배치 파일은 v0wwdG90f8J8TrxWNIpY9jGfY0409X.7z 압축 파일의 비밀번호(DkXTNe82D315ZmVgC4ea7Z9j9w4eRvb02p72MlLHENUa6g0j3J3tNv2KR4yl68JjLTw7H20G7rrnHi6eKs2XJj8o9C)를 이용하여 "%AppData%\Windows Defender" 폴더 내에 압축 해제합니다.

 

 

참고로 v0wwdG90f8J8TrxWNIpY9jGfY0409X.7z 압축 파일 내에는 배치(.bat) 및 스크립트(.vbs) 파일과 핵심 기능을 수행하는 Windows Defender.exe 악성 파일 등이 압축되어 있습니다.

 

 

이를 통해 최종적으로 "%AppData%\Windows Defender" 폴더 내에는 악의적 기능 수행을 위한 파일 생성이 최종적으로 완성되며 이후 다음과 같은 추가적인 동작을 수행합니다.

 

22Y4ayZ97DTXNECcxIiswmt62u9W72.bat

 

22Y4ayZ97DTXNECcxIiswmt62u9W72.bat 배치 파일(SHA-1 : c84496920cfe98e7d24cd4d1c7c78b8f715fd7c9) 실행을 통해 보안 기능 무력화를 수행하며 세부적으로 살펴보면 다음과 같습니다.

 

 

Windows Update 서비스 기능 중지(net stop wuauserv) 및 자동 실행을 하지 못하도록 "sc config wuauserv start= disabled" 명령어를 수행합니다.

 

 

Windows 방화벽에 Avast, AhnLab V3 Lite, 알약(ALYac), AhnLab Safe Transaction, 네이버 백신의 업데이트 기능을 수행하는 파일이 통신을 하지 못하도록 Msn Messenger, OpenVPN 1.0/2.0, Skype updater, Torrentservice 이름으로 위장하여 차단합니다.

 

 

C:\Windows\System32\Tasks\Windows Local Network Service

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4F370D8-0A8B-445D-9351-82FBA6BE8646}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows Local Network Service

또한 7MV98fc27hVbvWmBM43veOE8Lk0uY2.xml 파일(SHA-1 : 2308da11f12b0a576f92aecca1b7e57607244667)을 참조하여 예약 작업 영역에 "Windows Local Network Service" 작업 스케줄러 값을 추가하여 [wscript.exe "%appdata%\Windows Defender\run.vbs"] 파일을 실행하도록 구성합니다.

 

해당 작업 스케줄러 동작 조건을 확인해보면 2018년 7월 31일부터 2027년 6월 28일까지 2분 단위로 자동 실행하도록 구성되어 있습니다.

 

run.vbs

 

"Windows Local Network Service" 작업 스케줄러 등록값을 통해 자동 실행되는 run.vbs 스크립트 파일을 확인해보면 N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat 배치 파일(SHA-1 : d9adadc4375f7d3270098c069bd6d3dc2e4a8c3d)을 실행하도록 구성되어 있습니다.

 

N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat

 

N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat 배치 파일을 확인해보면 find.exe 문자열 찾기(grep) 유틸리티를 통해 작업 관리자(Taskmgr.exe) 프로세스가 실행 중인지 지속적으로 체크(FIND "Taskmgr.exe")하는 기능이 포함되어 있으며, 우선 정상적으로 악성코드가 실행될 경우 아래와 같은 프로세스 구조를 가집니다.

 

 

작업 스케줄러에 등록된 "Windows Local Network Service" 값을 통해 자동 실행된 악성코드는 위와 같은 프로세스 구조를 통해 동작합니다.

 

wscript.exe 파일은 run.vbs 스크립트 파일 실행을 수행하며, cmd.exe 명령 프롬프트는 N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat 배치 파일을 실행합니다.

 

 

또한 실행된 Windows Defender.exe 악성 파일(SHA-1 : 812c16872f3d196e004fd09761a0b371efa3ce55 - Microsoft : Trojan:Win32/CoinMiner.C!cl)의 통신을 확인해보면 Monero Mining Pool (sg.minexmr.com)에 접속을 시도하는 모네로(Monero) 암호 화폐 채굴 기능을 수행하는 것으로 확인되고 있습니다.

 

 

만약 사용자에 의해 작업 관리자(Taskmgr.exe)가 실행될 경우 자동으로 Windows Defender.exe 악성 파일을 종료(taskkill /f /im "Windows Defender.exe")하며, find.exe 파일을 통해 작업 관리자가 종료되는지 여부를 체크한 후 종료가 이루어질 경우 Windows Defender.exe 악성 파일을 자동으로 재실행하는 방식입니다.

 

위와 같은 일련의 설치 및 동작을 통해 "%AppData%\Windows Defender.exe" 악성 파일은 암호 화폐 채굴 기능을 수행하다가 자신을 찾는 행위가 발생할 경우 자동으로 종료하여 자신의 존재를 숨기려고 합니다.

 

 

해당 악성코드는 AppCheck 안티랜섬웨어 제품에서 제공하는 AppCheck 클리너 또는 Malware Zero Kit (MZK) 도구를 통해 제거를 하실 수 있으며, 백신 프로그램의 경우 일부 파일만 삭제하여 Windows 부팅 이후 "Windows Script Host" 메시지 창이 지속적으로 생성되는 등의 문제가 있는 것으로 보입니다.

 

특히 해당 악성코드에 감염된 경우 Windows 방화벽에 등록된 백신 프로그램 업데이트 차단, Windows 업데이트 무력화 등의 설정이 적용되었으므로 사용자는 수동으로 관련 수정된 항목을 제거 및 수정하여 정상적으로 백신 프로그램과 Windows 업데이트 기능을 사용할 수 있도록 처리하시기 바랍니다.

  • 2018.09.06 17:58 댓글주소 수정/삭제 댓글쓰기

    벌새님 잘읽었습니다. 이번 건 신기하네요 find 하면서 종료되었는지 확인한다라...

  • 비밀댓글입니다

  • 감사합니다. 2018.09.06 23:30 댓글주소 수정/삭제 댓글쓰기

    덕분에 해결했습니다.
    감사합니다.

  • 컴알못이라서 이해가 잘안되네요 ㅠㅠ 해결책은 결국 어캐된다는거죠?

  • ㅇㅇ 2018.09.08 08:05 댓글주소 수정/삭제 댓글쓰기

    문제를 겪고 있는 분들에게는 불쾌하게 들릴지도 모르는 이야기이긴 합니다만은, 이런 문제를 예전부터 본 경험상.. 보통은 잘 알려지지 않은 바이러스 (악성 코드) 로 유발되는 경우가 많더군요. 감염 경로로 토렌트를 언급하시긴 했는데, 최근에 블로그에서 공유되는 파일에서도 악성 코드를 숨겨놓는 경우가 많아서 오히려 그쪽이 아닐까 싶습니다. (세부적인 것은 자세히 들어보지 못했습니다만 파워 블로그의 폰트 파일을 받다가 감염되었다는 사례를 본적이 있습니다.) 의외로 토렌트의 경우 악성코드가 있다는 이야기가 나오면 그 커뮤니티에서 이야기가 돌거든요.

    • 물론 블로그에 올라온 파일로도 광고 프로그램이나 악성코드 감염 사례가 많습니다. 단지 최근 안랩 등의 자료에서 채굴 악성코드가 토렌트 경유로 설치된다고 언급해서 적어두었습니다.

  • 우아 2018.09.08 11:39 댓글주소 수정/삭제 댓글쓰기

    감사합니다.
    저같은 경우엔 웹하드에서 받은 프로그램(확장자exe)을 실행하고 몇분 뒤 갑자기 V3가 Windows Defender.exe 잡았다고 알림창이 떳습니다.

    그리고 궁금한 점이 3가지 있는데 v3가 Windows Defender.exe을 바로 삭제하긴 했는데 이러면 큰 문제는 없는건가요?
    또 Roaming 폴더에 있는 Windows Defender 내용물만 다 지우고 폴더만 남겨놨는데 아예 다 지워버리는게 나을까요?
    해당 프로그램을 다시 실행하였지만 감염 여부는 현재 없습니다. 1회성인지 아니면 하루지나고 실행하면 또 나타날런지는 모르겠지만..

    • Windows Defender.exe 파일이 생성되는 시점에서 V3 백신이 탐지하였다면 중간에 스크립트가 방화벽과 Windows 업데이트 설정을 변경하였을 수 있습니다.

      그러므로 Windows 방화벽 고급 설정에서 차단된 값이 있으면 삭제하시기 바라며, 서비스에서 Windows 업데이트가 중지된 경우 활성화하시기 바랍니다.

      자세한 내용은 글 내용을 참고하시기 바랍니다.

      그리고 웹하드에서 받은 .exe 파일을 보내주실 수 있으시면 https://hummingbird.tistory.com/notice/911 내용을 참고하여 보내주시기 바랍니다.

  • 호옹이 2018.09.08 16:00 댓글주소 수정/삭제 댓글쓰기

    그렇다면 계속해서 Windows Script Host 메시지가 뜨는거는 스케줄러에 "Windows Local Network Service" 스케줄이 계속해서 작동을 하고있지만 run.vbs파일이 존재하지 않기에 계속해서 뜨게 되는건가요?

  • 컴알못 2018.09.11 03:17 댓글주소 수정/삭제 댓글쓰기

    와 벌새님 덕분에 깨끗이 해결했습니다. 너무 감사드려요.
    컴알못이 할 수 있는 최대의 무기인 시스템 복원까지 했건만, 계속해서 뜨는 스크립트 어쩌구 때문에 포맷을 해야 하나
    걱정하고 있었는데 ㅠㅠ
    컴알못이라 여러번 읽고 하라는 대로 했더니 다행히 더이상 창이 뜨지 않네요. 특히 인바운드와 아웃바운드 규칙에
    벌새님이 스샷찍어서 올린 규칙들 이름이 전부 다 있는 걸 보고 소름이 돋았습니다.
    네이버에 검색해봐도 관련글이라곤 벌새님 글이 유일하더군요. 후..
    마지막으로 질문이 하나 있습니다. 방화벽 고급설정에서 규칙들을 삭제하기까진 했는데
    윈도우 업데이트 설정에서 암만뒤져봐도 윈도우 업데이트가 중지된걸 다시 작동하게끔 전환하는 부분이 안보이네요.
    윈도우 자동업데이트 여부는 어디서 확인가능한가요??

  • 좋은 글 잘 읽었습니다. 덕분에 윈도우 업데이트나 방화벽 등을 수정할 수 있었고, 바이러스를 삭제하는 데 성공했습니다. 저 같은 경우는 윈도우즈 디펜더에서 검사 예외 항목에 appdata\roaming\Windows Defender 경로가 추가되어 있었고, 윈도우즈 디펜더가 그것에 대해서 알림을 띄워주었기에 검사를 시작할 수 있었습니다. 다만, 작업 스케줄러에서의 Windows Local Network Service는 appcheck 프로그램을 통해서 삭제를 하였는데도 지속적으로 경고창이 떴었고, 적어주신 경로나 작업 스케줄러를 싹 다 살펴보아도 보이지 않았습니다. 그 때문에 재부팅을 했더니 더 이상은 뜨지 않네요. 그러면 괜찮다고 봐도 될까요?

    • 삭제를 한 후에는 재부팅을 하지 않을 경우 기존에 올라온 작업 때문에 계속 메시지 창이 뜹니다.

    • dd 2018.09.13 21:13 댓글주소 수정/삭제

      그렇군요. 그런데 재부팅을 한 다음 어느 정도 시간이 지나니, 다시 해당 악성코드가 검출되네요. 윈도우 디펜더로는 실시간 감시로 파일을 통해서든, 혹은 인터넷 사이트 등을 통해서든 그것이 감염되는 걸 차단할 수는 없을까요?

    • 여기에서 언급한 악성코드가 어떤 프로그램 설치를 통해 몰래 설치되었던 것으로 보이는데, 해당 프로그램이 무엇인지 확인되지 않습니다.

      아마도 악성코드를 제거해도 재설치하는 기능을 가진 다른 파일이 더 존재할 가능성이 있습니다.

      https://hummingbird.tistory.com/notice/4859

      내용을 참고하여 ESET 툴을 이용하여 로그 파일을 만들어서 메일로 보내주시기 바랍니다. 한 번 살펴보도록 하겠습니다.

    • dd 2018.09.13 21:24 댓글주소 수정/삭제

      감사합니다. 우선은 지금은 처리된 상황인 것 같지만, 다시 한 번 설치되어 실행된다면 메일을 드리겠습니다.

  • 덕분에 지식인에 windows defender 관련 글들을 해결해 줄 수 있게 되었습니다. 좋은 정보 감사합니다.

  • nowPArk 2018.09.16 23:13 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 벌새님. 이것때문에 포맷을 몇번이나 했는데. 진짜 속 시원하게 해결되었네요. 정말정말 감사합니다.

  • 우와... 2018.09.17 22:24 댓글주소 수정/삭제 댓글쓰기

    이분 짱입니다.... 이걸고쳤네요 ㅠㅠㅠ mkz 돌리시고 작업스케줄 확인한번 해보세요~ 재부팅 해보시고요!
    벌새님 귀한시간 내주셔서 다시한번 감사드립니다!

  • 쏘르가므 2018.09.19 03:56 댓글주소 수정/삭제 댓글쓰기

    저는 mzk 돌리니 계속 뜨던 저 메세지가 안뜨네요
    안뜨면 따로 추가적인 작업이 필요 없나요?

  • ㅇㅇ 2018.09.19 16:13 댓글주소 수정/삭제 댓글쓰기

    Windows Defender.exe 메세지가 2개씩 떠서 윈10 인플레이트 포맷 했는데도 해결 안되서 이곳에 찾아와서 AppCheck으로 악성코드 찾아서 이 메세지는 해결 봤는데.. 문제는 그 이후로 run.vbs 메세지가 1개씩 뜹니다. MZK로도 해보고 V3로도 해보고 했는데도 해결 안되고, 작업 스케쥴러에서 찾아봐도 run.vbs를 실행하는 스케쥴러도 없습니다. 이럴때는 어찌해야할까요.. 물론 재부팅도 여러번 해봤습니다.

    • ㅇㅇ 2018.09.19 17:18 댓글주소 수정/삭제

      이거저거 찾다가 우연치않게 해결해서 다른분들께 참고될까 싶어서 적어둡니다. 저같은 경우엔 작업스케쥴러에 CreateExplorerShellUnelevatedTask 라는 익스플로어 프로그램으로 뭔가를 실행시키는 작업 스케쥴이 있었고, C:\Windows\System32\Tasks 폴더와 Tasks_Migrated 폴더의 내용중 Tasks 폴더에만 CreateExplorerShellUnelevatedTask가 존재했기에 이 파일을 삭제하고 작업스케쥴러에서도 지운 뒤에 재부팅 했더니 해결되었습니다. 한 3일정도 골머리 썩혔던 문제 해결 도와주신 벌새님 감사합니다.

    • 아마도 약간 달라진 변종이 있었나 봅니다. 잘 해결하셨다니 다행입니다.^^

    • 그리고 말씀하신 CreateExplorerShellUnelevatedTask 값의 경우에는 아마도 권한 상승 목적으로 추가한 것 같습니다. 일부 시스템 환경에서 UAC 권한을 Pass할 목적이 아닐까 싶습니다.

  • 덕분에 잘 해결했습니다 정말 감사합니다~~

  • ㅇㅇ 2018.09.23 10:37 댓글주소 수정/삭제 댓글쓰기

    앱클리너 설치후 검사 후에도 윈도우 스크립트 호스트 ~~ run.vbs.를 찾을 수 없다고 나오네요.. 윗분처럼 작업스케줄러 들어가봐도 별 다른게 안보이고... 컴알못이라 뭘 더 건드려 볼수가 없네요 ㅋㅋㅋ 포맷으로 밀어버리면 해결이 되려나요 이게..

    • https://hummingbird.tistory.com/notice/4859

      내용을 참고하여 ESET 툴을 이용하여 로그 파일을 만들어서 메일로 보내주시기 바랍니다. 한 번 살펴보도록 하겠습니다.

  • ㅇㅇ 2018.09.24 05:03 댓글주소 수정/삭제 댓글쓰기

    감사합니다.
    인터넷 하면서 간만에 참 당황했었는데, 덕분에 고칠 수 있었습니다.
    정말정말 고마워요.

  • ㅇㅇㅇ 2018.09.26 08:37 댓글주소 수정/삭제 댓글쓰기

    선생님 감사합니다. 덕분에 또 포맷하지 않아도 되었습니다.
    알면서도 안지키는 보안규칙이었는데 앞으로 잘 지켜야겠습니다.
    앞으로 선생님 댁에 좋은 일만 있으시길 빌겠습니다. 감사합니다.

  • ㅇㅇ 2018.10.24 00:29 댓글주소 수정/삭제 댓글쓰기

    MZK로 악성프로그램을 제거한 후에도 계속 창이 뜬다면

    작업스케줄러에 2018년 9월 이후로 추가 된 것 중

    " \: " 만 써있고 아무것도 써있지 않은 것 3개를 삭제했더니 하나 얻어 걸렸는지 그뒤로 뜨지 않네요

    이름은 local network service 어쩌구 였습니다. 혹시 다른분들 보신다면 참고하세용

  • 사람23호 2018.12.31 04:06 댓글주소 수정/삭제 댓글쓰기

    윈도우10사용자입니다. 위 게시물을 통해 제 컴퓨터 문제를 해결한 것 같아 몇자 적고 갑니다.

    AppData 내 \Windows Defender폴더에 'dzidzirk.exe' 문제(PC사용시 cmd창이 주기적으로 뜨는 현상; 암호화폐 채굴용 악성코드라고 얘기하는 것 같습니다.)로 해결방법을 찾다가 글 하단에서 말씀해주신 AppCheck 클리너를 이용해 제거했습니다. (참고로 제PC의 백신프로그램인 알약은 이 악성코드 파일들을 검색 못하더라구요.)

    컴퓨터 리부팅 후 클리너를 한번 더 돌려보니 안전하다는 결과가 나옵니다. 도움되는 정보에 감사드립니다.

    P.S. 위에 댓글을 보니 작업스케줄러 언급이 있어서 저도 한 마디 덧붙입니다. 제 PC의 작업스케줄러에도 클리너가 삭제한 악성코드 파일과 똑같은 위치의 예약작업이 한 개 남아있습니다. 2018년 10월에 추가된 예약작업으로 'Windows Defender routine scan'이란 게 남아있는데, 저도 증상이 재발하지 않는지 지켜보고 삭제여부를 생각해봐야 겠네요.