갑자기 생성된 특수문자 숨김 폴더의 정체 (V3)

이번 글에서는 최근 갑자기 생성된 특수문자 이름의 숨김 폴더의 정체에 대해 살펴보겠습니다.

 

갑자기 생성된 특수문자 숨김 폴더

2016년 6월 20일 밤, 탐색기를 사용 중 [!Iqe.(A8]이라는 이름을 지닌 숨김 속성의 특수 문자 폴더가 모든 드라이브에 생성된 것을 보았다.

처음엔 ‘아, 드디어 나도 랜섬웨어를 경험하게 된 것인가?’라는 생각이 들었고, 뒤이어 즉시 폴더 내부를 확인함과 동시에 작업 관리자를 열고 CPU와 디스크 사용률을 확인했다.

그러나 CPU의 사용률은 미미했으며 디스크 사용률은 없었다. [!Iqe.(A8] 폴더 내부에는 [!f46msZ8.doc], [!f46msZ8.jpg], [!f46msZ8.ppt] 파일만이 존재함을 확인할 수 있었다. 또한 휴지통에는 내가 지우지도 않은 [OMhcM.jpg]라는 파일이 있었다.

혹시 랜섬웨어가 아닌 다른 악성 코드는 아닐까 생각되어 시작 프로그램들을 확인했는데 역시 특이한 부분은 없었다.

갑자기 생성된 특수문자 숨김 폴더의 정체 1

결국 의심가는 프로그램을 모두 삭제했다. 그러나 리부팅 후 [!Iqe.(A8] 폴더 및 파일들은 계속 생성이 되고 있었고, 심지어는 절전 모드 후 복귀 시에도 다시 생성됨을 확인할 수 있었다.

 

갑자기 생성된 특수문자 숨김 폴더의 정체?!

Windows를 다시 설치해야하나 고민하던 순간 머릿속에 떠오른 것은 혹시 ‘[백신]의 문제가 아닐까?’라는 생각이었다. 예전에 랜섬웨어 예방 프로그램이 가장 빠른 문자열인 !xxxxx 형태의 폴더와 파일을 생성해서 랜섬웨어가 해당 파일을 변조할 때 이를 감지하여 차단하는 방식이라는 것이 떠올랐기 때문이다.

개인 PC에 사용 중인 백신은 Ahnlab V3 Lite였는데 이와 관련된 어떤 안내 공지도 없었고, 결국 1:1 문의로 질문한 결과 다음과 같은 내용을 확인할 수 있었다.

안녕하십니까? AhnLab 기술상담센터입니다.
고객님의 문의내용은 잘 읽어보았습니다.
먼저, 저희 제품을 사용해 주셔서 대단히 감사드립니다.
고객님께서 문의하신 내용과 관련하여 갑작스럽게 생성된 폴더로 인해 많이 놀라셨을 거라 생각됩니다. 해당 폴더는 바이러스 감염에 의해 생성된 것이 아니라, V3 제품의 기능과 관련하여 6월 20일 업데이트를 통해 생성된 AhnLab 관련 파일이 맞습니다.
V3 제품에서는 최근 이슈가 되고 있는 랜섬웨어 바이러스 탐지를 위해 기능을 추가하였습니다.
랜섬웨어를 유인하여 해당 파일을 암호화하려고 접근할 때 탐지 및 차단 기능을 제공하여 감염을 예방할 수 있는 디코이 진단 기법이 추가된 것 입니다. (* 해당 파일의 생성은 시스템의 성능 및 속도 등에 영향을 미치지 않습니다.)
해당 폴더의 생성을 원하지 않는 경우라면, V3 제품의 [환경설정]에서 “행위기반진단 사용” 옵션을 OFF한 후, [적용]-[확인]을 클릭하면 폴더가 삭제됩니다.
해당 기능과 관련하여 궁금하신 사항이 있으시다면 언제든지 재문의 부탁드립니다.
그럼, 오늘도 즐거운 하루 되시길 바랍니다. 감사합니다.
 

결국 V3에서 2016년 6월 20일 적용된 새로운 업데이트로 인한 해프닝이었던 것이다.

관련 문의가 많았는지 지금은 다음과 같은 공지가 올라온 상태다.

엔진(ASD 2.6.6.3) 패치 내용​
* 안랩의 V3 제품군에 랜섬웨어 탐지 강화를 위한 디코이 진단 기능이 개선되었습니다.
* 사용 중인 모든 드라이브의 최상위 경로에 숨김 파일 속성으로 랜덤한 폴더를 생성합니다.
* 폴더명은 랜덤하게 생성하며, 앞에 특수기호(@, $, %, ! 등)가 적용됩니다.
* 디코이(Decoy)는 V3 제품군에서 생성한 파일에 랜섬웨어가 암호화 하려고 접근하면 탐지하고 차단하는 기능입니다.
 

답글 남기기