Windows 부팅 과정에서 자동으로 명령 프롬프트(CMD) 창이 생성되었다가 사라지는 것을 화면을 통해 확인하면서 악성코드에 감염된 것이 아닌가 의심하는 경우가 있는 것 같습니다.
물론 일부 악성코드의 경우 부팅 중 자신을 실행하는 과정에서 CMD 창을 띄우는 동작이 있을 수 있지만, 이 글에서는 Windows 10 운영 체제에서 발생할 수 있는 CMD 창 생성 원인에 대해 살펴보도록 하겠습니다.
Windows 10 운영 체제에 기본적으로 설치되어 있는 Microsoft OneDrive 프로그램의 기본 설정에서는 "Windows에 로그인할 때 자동으로 OneDrive 시작" 항목이 체크되어 있습니다.
이로 인하여 실제 원드라이브(OneDrive) 프로그램을 사용하지 않는 경우에도 부팅 후 자동으로 실행될 수 있으며, 사용자가 자동 시작 설정을 해제한 경우에는 작업 스케줄러에 등록된 업데이트 확인 기능을 통해 자동 업데이트가 이루어질 수 있습니다.
일반적으로 1개월에 1회 정도 자동 업데이트를 통해 상위 버전으로 패치가 될 경우 PC 화면 상에서는 어떠한 업데이트 과정을 보여주지는 않습니다.
하지만 Microsoft OneDrive 업데이트가 이루어진 후에는 Windows 재부팅 이전까지 다음과 같은 레지스트리 값이 RunOnce 항목에 추가되어 다음 부팅 시 자동 실행되도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- Delete Cached Standalone Update Binary = C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\%UserName%\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe"
- Delete Cached Update Binary = C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\%UserName%\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe"
- Uninstall <구버전 정보> = C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\%UserName%\AppData\Local\Microsoft\OneDrive\<구버전 정보>"
- Uninstall <구버전 정보>\amd64 = C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\%UserName%\AppData\Local\Microsoft\OneDrive\<구버전 정보>\amd64"
참고로 RunOnce 레지스트리 항목에 등록된 경우 이후 부팅 시에만 1회 동작한 후 자동으로 삭제 처리됩니다.
실제로 Windows 재부팅을 진행해보면 총 4개의 명령 프롬프트(CMD) 창이 잠시 생성되었다가 자동으로 종료되는 것을 확인할 수 있으며, 해당 CMD 창은 RunOnce 레지스트리 값에 등록된 4개의 cmd 명령어를 수행하는 과정에서 화면에 일시적으로 표시된 것입니다.
Windows 부팅 이후에 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" 레지스트리 값을 확인해보면 4개의 키값이 모두 삭제된 것을 확인할 수 있습니다.
이처럼 Windows 10 운영 체제 환경에서는 사용자가 제어판을 통해 Microsoft OneDrive 프로그램을 제거하지 않는 이상 주기적으로 OneDrive 프로그램의 업데이트 이후 부팅 과정에서 명령 프롬프트(CMD) 창이 일시적으로 생성될 수 있으므로 악성코드 감염과는 무관하므로 걱정하실 필요는 없습니다.
▶ 이전글 보기 ◀
2016/12/17 - [벌새::Software] - Windows 10 운영 체제용 "Microsoft OneDrive" 공식 제거 기능 추가 소식 (2016.12.17)