새로운 “노먼” 마이너 악성코드 발견, 작업 관리자 열면 숨김

노먼 악성코드 특징

바이러스가 리소스를 차지하고 있다고 생각되면, 작업 관리자를 열어 이상한 프로세스를 확인할 수 있습니다. 하지만 PC를 감염시키는 바이러스가 작업 관리자를 열었는지 알고 숨는다면 어떻게 될까요?

이 시나리오는 새로운 노먼 마이너 악성코드가 하는 일로, 싸우기 어려운 문제를 만듭니다!

또한 읽어보세요: 마이크로소프트, 발견하기 어려운 파일 없는 악성코드 “아스타로스” 경고

노먼이 발견된 방법

노먼은 보안 회사인 바로니스가 고객사의 서버에서 이상한 활동을 발견하면서 알려졌습니다. 그들은 이상한 징후를 보이는 장치가 시스템이 느려진다고 보고한 같은 고객의 것임을 알아차렸습니다. 따라서 바로니스는 무슨 일이 일어나고 있는지 확인하기 위해 보안 팀을 보냈습니다.

노먼 악성코드 기술자

팀이 회사의 컴퓨터를 점검했을 때, 모든 장치가 암호화폐 마이너에 감염된 것을 발견했습니다. 이는 기계들이 예전처럼 빠르게 작동하지 않는 이유를 설명해주었습니다: 암호화폐 마이너 개발자가 처리 능력을 빼앗아 디네로를 채굴하고 있었던 것입니다.

더욱이, 감염은 바로니스가 현장에 도착하기 1년 전부터 네트워크를 돌아다니고 있었습니다. 이 지연은 초기 감염을 설정한 사람이 마이너를 찾는 데 걸린 시간 동안 많은 암호화폐를 벌었을 가능성이 있음을 의미합니다!

노먼의 작동 방식

노먼이 방치되면, 소유자를 위해 기꺼이 채굴합니다. 이 작업은 시스템 리소스에 부담을 주어 일부 사용자가 작업 관리자를 열어 프로세서를 차지하고 있는 것이 무엇인지 알아보게 만듭니다.

노먼의 설계는 사용자가 작업 관리자를 열 때를 감시하여 이를 방지합니다. 이를 발견하면 즉시 채굴 프로세스를 종료하여 컴퓨터에서 실행 중인 프로세스 목록에서 제거합니다. 따라서 사용자는 문제의 원인을 보지 못하고 모든 것이 괜찮다고 가정합니다. 아래에서 작업 관리자(“Taskmgr”)가 등장할 때 악성코드(“wuapp”)가 사라지는 모습을 볼 수 있습니다.

노먼 악성코드 예시

사용자가 작업 관리자에서 시선을 돌리면, 악성코드는 마이너를 다시 주입하고 프로세스를 재개합니다. 이 전술은 악성코드가 두 가지 세계의 장점을 모두 가질 수 있게 합니다. 감시를 받지 않을 때 시스템 리소스를 차지할 수 있고, 사용자가 추적하려고 할 때 모든 흔적을 제거할 수 있습니다.

암호화폐 마이너로부터 보호하는 방법

암호화폐 마이너는 처음부터 설치를 허용하지 않는 것이 가장 좋습니다. 최신 안티바이러스를 사용하여 시스템을 점검하고, 구멍 악용을 방지하기 위해 운영 체제를 최신 상태로 유지하세요.

노먼 악성코드 통화

시스템 리소스가 어떤 것에 의해 차지되고 있다고 느끼면, 악성코드가 숨어 있는지 확인하기 위해 안티바이러스 검사를 수행하세요. 노먼이 숨고 있을 것 같다면, 작업 관리자와 다른 프로세스 뷰어를 사용하여 현장에서 잡을 수 있습니다. 위의 GIF는 프로세스 해커를 사용하는 것처럼 보이니, 한번 시도해 보세요!

노먼에 대해 정상적인 것은 없다

암호화폐 마이너는 소유자에게 많은 돈을 벌어주지만, 그들이 있는 컴퓨터를 느리게 만드는 전형적인 징후가 있습니다. 노먼은 작업 관리자에서 숨으려고 하지만, 자신을 방어할 방법이 있습니다. 시스템에 침투하더라도, 대체 프로세스 모니터가 현장에서 잡아낼 수 있어야 합니다.

이 새로운 암호화폐 마이너의 발전이 걱정되시나요? 아래에 알려주세요.

이미지 출처: 바로니스