오늘은 아마도 윈도우 정품을 구매하지 않고 윈도우 정품 인증을 하려고 사용을 하는 윈도우 정품 인증 툴 KMSpico에서 가상화폐 채굴 악성코드가 포함되었다는 소식입니다.
가상화폐 모네로를 채굴을 하는 코드가 포함된 것을 확인되었습니다. 일단 모네로(Monero)는 단축코드는 XMR이며 2014년 4월 18일에 시작이 되었으며 발행방식은 PoW(Proof-of-Work, 작업 증명)으로 하면 모네로(Monero)라는 이름은 에스페란토 어로 동전을 뜻하며 비트코인의 블록체인가 다르게 모네로는 CryptoNote 프로토콜을 채택하여 사용자의 익명성을 보장합니다.
CryptoNight라는 독자적인 작업증명 기법을 사용하며 채굴기(ASIC 채굴기)와 이를 소유한 자본에 의해 탈 중앙화(decentralization)적 가치가 훼손되는 것을 막고 있으며 1CPU당 1표(one-CPU-one-vote) 식 PoW를 구현했으면 한마디로 CPU가 좋으면 CPU로도 잘 캐진 다는 것입니다. 일단 기본적으로 가상화폐 채굴 악성코드에 감염되면 사용자 컴퓨터의 CPU,GPU 사용률은 상승해서 사용자의 컴퓨터 고장의 원인이 되기도 할 것입니다.
C:\Program Files\KMSPico 10.2.2 Final
C:\Program Files\KMSPico 10.2.2 Final\INSTALL_KMS.bat
C:\Program Files\KMSPico 10.2.2 Final\KMSPico Setup.exe
SHA256:fed1b2c40ab8fde0a3813266ab76d40a32afe8480f609d4718a46f931cf5dbb9
PUP/Win32.Amonetize.R215175
C:\Program Files\KMSPico 10.2.2 Final\KMSpico_patch.exe
SHA256:9c41ea2ea06efd9c65d7bab818f61c862f981a6765a3d0f602a5b0122f0184de
PUP/Win32.DealPly.R214963
C:\Program Files\KMSPico 10.2.2 Final\win32.exe:시작 프로그램(jXuDLnugma) 등록 파일을 하면 가상 화폐(모네로)로 채굴에 동원됩니다.
그리고 레지스터리에 다음과 같이 등록을 합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce- jXuDLnugma = "C:\Users\%UserName%\AppData\Local\KAUNCU~1\win32.exe
그리고 jXuDLnugma를 컴퓨터가 부팅을 할 때마다 실행되어서 가상화폐인 모네로 채굴을 시도합니다.
그리고 사용자가 컴퓨터가 느려지거나 평상시보다 냉각 펜이 많이 돌아서 작업 관리자(Taskmgr.exe)를 통해서 CPU 사용률을 확인을 할려고 하면 악의적인 프로세스로 활용되는 notepad.exe 프로세스를 자동 종료해서 가상화폐 채굴을 하는 것을 숨기면 사용자가 작업 관리자를 종료하면 다시 재실행하여 모네로 가상화폐 채굴을 계속합니다.
notepad.exe 프로세스를 자동 종료해서 가상화폐 채굴을 하는 것을 숨기면 사용자가 작업 관리자를 종료하면 다시 재실행하여 모네로 가상화폐 채굴을 계속합니다.
일단 보조 백신프로그램인 Zemana AntiMalware에서는 기본적으로 실시간 감시를 하고 있을 때는 Zemana AntiMalware에서 백신프로그램보다 먼저 해당 가상화폐 채굴 악성코드들을 먼저 차단하는 것을 확인되었습니다.
일단 최근에 가상화폐 열풍에 해당 부분에 아마도 가상화폐 채굴 악성코드가 늘어가는 것 같습니다.
일단 이런 악성코드에 감염되기 싫으면 깔끔하게 정품을 사용하는 것이 컴퓨터를 안전하게 사용하는 방법이면 백신프로그램은 항상 설치를 해두어야지 이런 악성코드에 감염되는 것을 최소화할 수가 있을 것입니다.
<기타 관련 글>
[브라우저 부가기능/윈도우 스토어] - 비트코인 및 가상화폐 가격 변동을 볼수가 있는 윈도우 스토어-CryptoTracker
[보안] - 비트코인 및 가상화폐 채굴에 강제 동원하게 하는 스크립트 차단 프로그램-Anti-WebMiner(안티웹마이너)
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 10 누적 업데이트 KB4056891 버전 1703 윈도우 Meltdown&Spectre 취약점 (0) | 2018.01.05 |
|---|---|
| 윈도우 10 Keeper Password Manager 보안 업데이트 (10) | 2018.01.01 |
| 윈도우 디펜더 오류 코드 0x800106ba 해결 방법 (2) | 2017.12.29 |
| Windows Defender 네트워크 보호 기능(윈도우 디펜더 네트워크 보호 기능) 사용하기 (6) | 2017.12.28 |
| File Locker Ransomware(파일락커 랜섬웨어)감염 증상 및 예방 방법 (0) | 2017.12.23 |
| 오페라 웹 브라우저 50 버전에서는 비트코인 채굴 스크립트 차단 기능 추가 (4) | 2017.12.23 |
| 이셋모바일시큐리티(ESET Mobile Security) 통신 실패 에러 20515003 문제 해결 방법 (6) | 2017.12.22 |
| 윈도우 10 버전 1709 KB4058043 업데이트 (2) | 2017.12.20 |
