• 발단
• 전개
  • 7zip
  • 7zip (2)
  • BandiZip
    • 이상한 인자로 실행중인 모습
• 위기
  • 이상한 파일
  • 널 찾아내겠다
• 결말

발단

• 업무중에 PC가 느려졌다.
• 사용하던 프로그램들을 대부분 종료했는데도 램이 회수되지 않음을 발견했다.
• 켜놓은지 오래되기도 했고하여 재부팅을 진행했다.
• 여전히 느린 느낌이 있다.

전개

7zip

• 작업관리자를 열어보았다.
• 7zG.exe 가 메모리를 4GB나 차지하고 있었다.
• 
• 이녀석이 PC를 느려지게 하고 있다고 생각하고 강제종료했다.

7zip (2)

• 잠시후, 7zG.exe가 다시 실행되어 급속도로 메모리를 잡아먹는 모습을 관찰했다.
• 이녀석에 대한 정보를 얻어내고자, Process Explorer를 실행하여 확인했다.
  • 종료되지 않도록 Suspend 상태로 변경했다.
• 알 수 없는 이상한 인자로 실행 중임을 확인했다.

BandiZip

• 약 2분후 Suspend 상태로 변경해두었던 7zip이 자동으로 종료되었다.
• 그러자 BandiZip.exe가 실행되어 동일하게 4GB 메모리를 쳐먹고 있는 모습이 확인되었다.
• 반디집도 역시 이상한 인자로 실행 중이었다.

이상한 인자로 실행중인 모습

• 
• 반디집 업체에 문의한 결과, 실행인자가 길 경우 인자를 파일에 저장해두고 실행하는 방식이라 한다.

위기

이상한 파일

• 반디집을 Suspend로 변경하고, 사용중인 파일 핸들을 확인했다.
• C:\Users\Administrator\Downloads\aaa 폴더에 접근중임을 확인했다.
  • 해당 폴더는 탐색기로 들어갈 수 없었다.
  • 후에 알았지만 Total Commander를 통해 접근할 수 있었다. (토탈커맨더 짱)
• 접근중인 파일은 한글로 된 파일명으로, 확인 당시에는 '자항기뢰'라는 어색한 이름이 들어있는 여러 파일이었다.
  • 확장자는 pdf, hwp 등.
• 
• 자항기뢰를 구글링해보니 군사시설 관련한 내용처럼 보였으나 많은 내용은 없었다.
• 자항기뢰 파일을 압축하는것인지, 압축을 풀고 있는 것인지는 알 수 없었다.

널 찾아내겠다

• Process Explorer상으로는 탐색기의 자식 프로세스로 7zip과 반디집이 실행되어 있었으나, 범인을 알 수는 없었다.
• Process Monitor를 실행하여 이 프로그램을 실행하는 녀석을 찾아내기로 했다.

결말

• 하지만, Process Monitor를 실행했을 때 앞서 7zip이 자동 종료되었듯, 반디집도 종료되었다.
• 차이점이라면 다시 실행되지 않았고, 이게 마지막이었다는 점이다.
• 마치 내가 추적할 것도 알고있었다는 듯이 …녀석은 정체를 감추었다.
• 이후 찜찜함이 사라지지 않던 나는 여러가지 보안등급을 올리거나, 바이러스 검사 등을 진행했으나 별다른 소득은 없었다.