최근 네이버 지식인을 통해 올라오는 질문 중 run.vbs 또는 Windows Defender.exe 파일을 찾을 수 없다는 메시지가 지속적으로 생성되는 문제로 고생하는 분들이 있는 것 같습니다.
실제 어떤 경로로 감염이 이루어졌는지는 알 수 없지만 아마도 토렌트(Torrent) 파일 공유 서비스를 통해 다운로드한 파일을 실행할 경우 몰래 설치된 환경 중 백신 프로그램에 의해 일부 악성 파일이 삭제되어 발생하는 것으로 보입니다.
스크립트 파일 "C:\Users\%UserName%\AppData\Roaming\Windows Defender\run.vbs"을(를) 찾을 수 없습니다.'C:\Users\%UserName%\AppData\Roaming\Windows Defender\Windows Defender.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.
우선 감염된 환경에서 run.vbs 또는 Windows Defender.exe 악성 파일이 삭제된 경우 Windows 부팅 이후 2분 단위로 "Windows Script Host" 메시지 창이 반복적으로 생성될 수 있습니다.
감염 과정(2018년 8월 31일 샘플 기준) 중 파일 생성 및 동작 과정을 살펴보면 우선 숨김(H) +시스템(S) 폴더 속성값을 가진 "C:\Users\%UserName%\AppData\Roaming\Windows Defender" 폴더를 생성하여 내부에 다음과 같은 파일을 생성합니다.
참고로 Windows Defender 백신 프로그램의 정식 설치 경로는 "C:\Program Files\Windows Defender" 폴더입니다.
해당 폴더 내에는 1차적으로 7-Zip 압축 모듈, 비밀번호로 보호된 .7z 압축 파일, 배치 파일(.bat) 및 스크립트(.vbs) 파일이 존재합니다.
먼저 dwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs 스크립트 파일(SHA-1 : cd0386a5c5df8845202cb733790d67fe0d93edba)이 실행되어 dwge0E7M515s6FzFXS8pkbX9I5M6Nv.bat 배치 파일(SHA-1 : b1b7a8d2f82897c3b77bac44a480444b05f4e81c)을 실행시킵니다.
실행된 dwge0E7M515s6FzFXS8pkbX9I5M6Nv.bat 배치 파일은 v0wwdG90f8J8TrxWNIpY9jGfY0409X.7z 압축 파일의 비밀번호(DkXTNe82D315ZmVgC4ea7Z9j9w4eRvb02p72MlLHENUa6g0j3J3tNv2KR4yl68JjLTw7H20G7rrnHi6eKs2XJj8o9C)를 이용하여 "%AppData%\Windows Defender" 폴더 내에 압축 해제합니다.
참고로 v0wwdG90f8J8TrxWNIpY9jGfY0409X.7z 압축 파일 내에는 배치(.bat) 및 스크립트(.vbs) 파일과 핵심 기능을 수행하는 Windows Defender.exe 악성 파일 등이 압축되어 있습니다.
이를 통해 최종적으로 "%AppData%\Windows Defender" 폴더 내에는 악의적 기능 수행을 위한 파일 생성이 최종적으로 완성되며 이후 다음과 같은 추가적인 동작을 수행합니다.
22Y4ayZ97DTXNECcxIiswmt62u9W72.bat 배치 파일(SHA-1 : c84496920cfe98e7d24cd4d1c7c78b8f715fd7c9) 실행을 통해 보안 기능 무력화를 수행하며 세부적으로 살펴보면 다음과 같습니다.
Windows Update 서비스 기능 중지(net stop wuauserv) 및 자동 실행을 하지 못하도록 "sc config wuauserv start= disabled" 명령어를 수행합니다.
Windows 방화벽에 Avast, AhnLab V3 Lite, 알약(ALYac), AhnLab Safe Transaction, 네이버 백신의 업데이트 기능을 수행하는 파일이 통신을 하지 못하도록 Msn Messenger, OpenVPN 1.0/2.0, Skype updater, Torrentservice 이름으로 위장하여 차단합니다.
C:\Windows\System32\Tasks\Windows Local Network Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4F370D8-0A8B-445D-9351-82FBA6BE8646}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows Local Network Service
또한 7MV98fc27hVbvWmBM43veOE8Lk0uY2.xml 파일(SHA-1 : 2308da11f12b0a576f92aecca1b7e57607244667)을 참조하여 예약 작업 영역에 "Windows Local Network Service" 작업 스케줄러 값을 추가하여 [wscript.exe "%appdata%\Windows Defender\run.vbs"] 파일을 실행하도록 구성합니다.
해당 작업 스케줄러 동작 조건을 확인해보면 2018년 7월 31일부터 2027년 6월 28일까지 2분 단위로 자동 실행하도록 구성되어 있습니다.
"Windows Local Network Service" 작업 스케줄러 등록값을 통해 자동 실행되는 run.vbs 스크립트 파일을 확인해보면 N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat 배치 파일(SHA-1 : d9adadc4375f7d3270098c069bd6d3dc2e4a8c3d)을 실행하도록 구성되어 있습니다.
N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat 배치 파일을 확인해보면 find.exe 문자열 찾기(grep) 유틸리티를 통해 작업 관리자(Taskmgr.exe) 프로세스가 실행 중인지 지속적으로 체크(FIND "Taskmgr.exe")하는 기능이 포함되어 있으며, 우선 정상적으로 악성코드가 실행될 경우 아래와 같은 프로세스 구조를 가집니다.
작업 스케줄러에 등록된 "Windows Local Network Service" 값을 통해 자동 실행된 악성코드는 위와 같은 프로세스 구조를 통해 동작합니다.
wscript.exe 파일은 run.vbs 스크립트 파일 실행을 수행하며, cmd.exe 명령 프롬프트는 N2gf5Y0N3bGW8Fk0dLmlw0G657hCIo.bat 배치 파일을 실행합니다.
또한 실행된 Windows Defender.exe 악성 파일(SHA-1 : 812c16872f3d196e004fd09761a0b371efa3ce55 - Microsoft : Trojan:Win32/CoinMiner.C!cl)의 통신을 확인해보면 Monero Mining Pool (sg.minexmr.com)에 접속을 시도하는 모네로(Monero) 암호 화폐 채굴 기능을 수행하는 것으로 확인되고 있습니다.
만약 사용자에 의해 작업 관리자(Taskmgr.exe)가 실행될 경우 자동으로 Windows Defender.exe 악성 파일을 종료(taskkill /f /im "Windows Defender.exe")하며, find.exe 파일을 통해 작업 관리자가 종료되는지 여부를 체크한 후 종료가 이루어질 경우 Windows Defender.exe 악성 파일을 자동으로 재실행하는 방식입니다.
위와 같은 일련의 설치 및 동작을 통해 "%AppData%\Windows Defender.exe" 악성 파일은 암호 화폐 채굴 기능을 수행하다가 자신을 찾는 행위가 발생할 경우 자동으로 종료하여 자신의 존재를 숨기려고 합니다.
해당 악성코드는 AppCheck 안티랜섬웨어 제품에서 제공하는 AppCheck 클리너 또는 Malware Zero Kit (MZK) 도구를 통해 제거를 하실 수 있으며, 백신 프로그램의 경우 일부 파일만 삭제하여 Windows 부팅 이후 "Windows Script Host" 메시지 창이 지속적으로 생성되는 등의 문제가 있는 것으로 보입니다.
특히 해당 악성코드에 감염된 경우 Windows 방화벽에 등록된 백신 프로그램 업데이트 차단, Windows 업데이트 무력화 등의 설정이 적용되었으므로 사용자는 수동으로 관련 수정된 항목을 제거 및 수정하여 정상적으로 백신 프로그램과 Windows 업데이트 기능을 사용할 수 있도록 처리하시기 바랍니다.