유머천국 코하비닷컴
https://cohabe.com/sisa/63054

바이러스보다 무서운TEWebP

어느날 갑자기 RAM이 80%이상으로 됩니다. 참고로 램 용량이 8GB.
아무것도 안켠 상태입니다.
작업관리자를 켜보지만 누가 RAM을 먹고 있는지 나와있지 않습니다.

pc.JPG
pc2.JPG
야매 process 관리 프로그램을 켜도 잡지 못합니다...
pcc.JPG

램맵을 켭니다. 딩동댕~ 
TEWebP란 프로그램이 약 20K씩 램을 먹으면서 수만개 프로세스를 만들었습니다.
서로 다른 프로세스로 인식되기에 작업관리자에 잡히지 않습니다. 


범인.JPG

랜섬웨어인가 하고 더럭 겁을 먹습니다. 
재빨리 파일들을 확인해보지만 암호화된 파일은 안 보입니다. 
검색해보니 TouchEn nxWeb라는 프로그램입니다.
어라, 어디서 많이 보던 앤데 ...
아, 공공기관에 접속할때 깔라고 강요하는 active x입니다 ... (정확히 active x종류인지는 모르겠슴)
아무튼 제어판에 가서 제거하고 재부팅합니다 ...
다시 켜보니 램이 90%입니다... ...
이쯤 되면 랜섬웨어나 Worm을 다시 한번 의심 해봅니다.

우연곡절끝에 Program Files 에 있는 RaonSecure (랜섬) 폴더를 지우고 재부팅하니 램 사용량 13%!!! 이녀석이 RaonSecure에 dll 파일을 여러개 넣어두었는데 그게 어떻게 부팅할때마다 실행되는지는 아직도 미스터리입니다. (시작프로그램이나 서비스목록엔 당연히 없습니다.)

오늘도 하나 배우고 갑니다. 
공공기관 접속할때를 대비해서 VM 하나 깔아두어야 겠습니다.

댓글
  • 야미루 2017/01/04 16:03

    히익 저도 지금 확인하니까 증상이 동일해서 지웠어요 ㄷㄷㄷ

    (QAzunM)

  • 아하실 2017/01/04 16:13


    nprotect, touchen, ahnlab 같이 ram에 상주하며 자원을 소모하는 악성 프로그램들이 얼른 없어졌으면 좋겠네요. ㅡㅡ

    (QAzunM)

  • 올리오 2017/01/04 16:19

    진짜 욕을 하는게 전혀 이상할게 없는 상황인듯
    저게 무려 보호를 명목으로 깔아두고 있는 안티 바이러스 프로그램 이라는게 ㅡㅡ;;;;;;;;;

    (QAzunM)

  • CowBoy.BK 2017/01/04 16:33

    전... VM에 윈7 깔아서 결제전용으로 돌린지 오래 되었습니다. 별수 없어요..... 하아... 정말....

    (QAzunM)

  • 개똥같은놈아 2017/01/04 17:12

    결제 보호프로그램은 사용자의 pc를 지키기 위함보다는 사이트를 지키는 느낌입니다 ㅋㅋㅋ

    (QAzunM)

  • 퇴탈한회원 2017/01/04 19:22

    저도 그래서 공인인증서 담아둔.. 은행용 랩탑 따로 사용하고 있어요 ㅡ,.ㅡ
    한국 은행 사이트 너무 불편함...

    (QAzunM)

  • guga 2017/01/04 20:34

    거기다가 상시 상주형으로 당당하게 버티면서 메모리 처먹고 있는거 보면 속이 터지죠 -_-)

    (QAzunM)

  • 다요 2017/01/04 21:57

    갑자기 컴 상태가 안좋아졌는데 한번 찾아봐야겠네요
    좋은정보글 감사합니다

    (QAzunM)

  • 낡은피아노 2017/01/05 07:35

    고객센터: "아 네 불편하셨죠 호갱님? 이 참에 윈도 포맷한번 하시죠~ 헬조선에선 원래 그렇게 쓰는겁니다~"

    (QAzunM)

  • 살찐팽귄 2017/01/05 08:03

    더러운게 VM이나 원격에서는 실행 안되게 만든것도 있음 특히 아이핀

    (QAzunM)

  • onyx01 2017/01/05 08:16

    바이러스 보다 악질이네요

    (QAzunM)

  • 머찌니이 2017/01/05 08:16

    결제전용 PC를 두거나 VM이 답이죠...

    (QAzunM)

  • 따뜻한게좋앙 2017/01/05 08:19

    스크랩

    (QAzunM)

  • 득템만세 2017/01/05 08:50

    와 진짜 극혐이다 이정도면 ㅋㅋㅋ
    진짜 윗분말대로 개인컴을 갈아서 웹사이트를 지키는 느낌이네요.
    (대문은 철저해도 내부 보안이 개판이라 결과적으로는 잘 지켜지지도 않는 것 같지만)

    (QAzunM)

(QAzunM)