[자작 프로그램] 페이스북 모네로 채굴 바이러스 제거 프로그램

때는 바야흐로 2017년 12월 17일. 고2 겨울방학이 한창일 때 친구가 갑자기 나에게 다급하게 페메를 보냈다. 오랫동안 연락하지 않은 사람이 갑자기 어떤 파일을 보냈다는 내용이었다. 파일명을 보는 순간 아~ 바이러스구나 라는 느낌이 들었다.

vmWare을 켜서 가상 머신에서 압축을 풀어보니 아니나 다를까 확장자를 감추려고 한 흔적이 보였다. 보통 사람들은 알려진 확장자일 경우 확장자를 감추도록 설정되어있기 때문에 .mp4만 보고 진짜 동영상이라는 생각을 하기 쉽다. 아이콘까지 정말 동영상처럼 바꿔놨으니 컴퓨터에 대한 지식이 없는 사람이라면 충분히 실행해볼 것 같았다.

나에게는 저런 메세지가 하나도 오지 않아서 얼마나 빠르게 퍼지고 있는 지 짐작이 되지 않았지만 첫 메세지가 온 이후로 3개의 메세지가 더 왔다는 친구의 말을 듣고 꽤 빠르게 퍼지고 있다는 것을 알 수 있었다. 솔직히 사람들이 페이스북 서비스들을 주로 스마트폰 어플을 통해 이용하기 때문에 exe확장자 바이러스가 그다지 빨리 퍼질 것 같지 않다고 예상했지만 아니었다. 몇 분 만에 페이스북 타임라인 전체가 이 메세지에 대한 내용들로 채워졌다.

페이스북 그룹 중에 '생활코딩'이라는 프로그래밍 그룹이 있다. 당연히 이 그룹에도 관련 게시글들이 올라왔는데, 내가 바이러스를 디컴파일 해서 네트워킹, 권한 상승 등의 기능이 있다는 것을 확인하고 DDOS공격에 사용되는 좀비 PC를 만드는 서버파일을 의심하고 있던 순간 '모네로'라는 가상화폐를 채굴하는 프로그램임을 알아냈다는 글이 올라왔다. 그리고 얼마 후 박석환이라는 분 께서 바이러스를 제거하는 방법을 찾아내 글을 올리셨다.

제거 방법이 일반인에게는 어려울 것 같아 과정을 자동화 시킨 배치 파일이나 exe파일을 만들어 배포하는 것도 좋을 것 같다고 생각되어 급하게 프로그램을 하나 만들었었다. 많은 기여를 하진 못했지만 조금이나마 바이러스 방어에 도움이 되었다는 것이 꽤나 뿌듯했다.

MinerRemover.zip

학습용으로 사용하고싶으신 분들을 위해 바이러스 파일도 올려드리겠습니다.

Virus.zip