얼마 전부터 Windows Defender(윈도우 디펜더)를 사칭하는 프로그램에 의해서 피해를 보는 분들이 늘어나고 있습니다. 윈도우 디펜더의 원래 위치는 C드라이브의 Program Files 입니다. 그런데, 위의 사칭 프로그램은 사용자의 Appdata에서 실행하려고 시도하고 있습니다. 먼저 관련하여 오류 메시지를 살펴보면 아래와 같습니다.
위와 같은 오류가 발생하는 이유는 사용자 모르게 설치된 해당 프로그램이 보안 프로그램에 의해서 삭제되었으나 프로그램을 여전히 자동으로 실행하려는 프로세스는 남아있기 때문입니다. 즉, 오류 메시지를 봤다면 일단 그나마 안심할 수 있는 상태라고 볼 수 있습니다. 전문가의 분석에 의하면 일종의 채굴 프로그램을 자동으로 돌리려고 하는 악성 코드라고 합니다. [링크]
오류 메시지가 뜨는 상태에서는 이미 프로그램 자체가 삭제되었기 때문에 별도로 파일을 삭제할 필요는 없습니다. 다만, 이를 자동으로 시작하고 있는 프로세스를 찾아서 삭제하고 종료하도록 하면 되겠습니다. 가장 먼저, 윈도우의 작업 스케줄러를 찾아서 실행하시기 바랍니다. 제어판 – 관리 도구 – 작업 스케줄러 혹은 윈도우 10 검색창에 작업 스케줄러 검색하시면 됩니다.
그 후에 작업 스케줄러 목록에서 Windows Local Network Service를 찾아 동작 탭을 확인해보시면 Windows Defender 폴더의 run.vbs를 실행하도록 되어있을 것입니다. 그러면 이제 Windows Local Network Service 작업을 우클릭하여 삭제합니다.
이렇게 하더라도 오류는 여전히 발생합니다. 이제 [컨트롤 + 알트 + ESC]를 눌러 작업 관리자 화면을 열어봅니다. 이름순 정렬하고 w에 보시면 wscript.exe라는게 잔뜩 실행되어 있는 것을 볼 수 있을 겁니다.
wscript.exe를 모두 강제 종료하시고 조금만 기다리면 바로 위쪽의 timeout.exe들이 점점 사라지는 것을 볼 수 있습니다. 여기까지 완료가 되면 오류가 다시 나타나지 않을 것입니다.
run.vbs를 찾을 수 없습니다.
위 과정을 거쳤거나, 혹은 아예 위 과정을 건너뛰고 작업 스케줄러에 아무것도 없는데 여전히 아래와 같은 오류가 뜨는 경우가 있습니다.
이 경우에는 임시 폴더의 모든 내용을 삭제해서 악성 코드가 남아있지 않도록 해야합니다. 먼저 FRST라는 프로그램을 받도록 합니다. [링크] 자신의 컴퓨터에 해당하는 bit에 맞춰서 받으시면 됩니다. 그리고 아래의 fixlist를 받아서 이미 받은 FRST랑 같은 위치에 두고 이 프로그램을 실행합니다.
그 후에 fix 버튼을 눌러서 진행하시면 됩니다.
진행 상황이 끝나고 재부팅을 요청하면 재부팅 하시면 됩니다.