안녕하세요 선배님들
처음보는 상황이 있어 경험이 있으신 선배님들의 경험을 여쭤보고 싶습니다.
지난주에 갑자기 임직원 PC에 엑셀파일이 생성(다운로드)되며 파일명이 Sample, Sample(1), Sample(2) 이런식으로 무수히 많이 생성되었습니다.
윈도우 이벤트로그, 백신 등 사내에서 운영하는 솔루션들의 로그를 봐도 특이사항이 없더라구요..
혹시 이런경우 OS단에서 추가로 확인할 수 있는 방법이 있는지 혹은 이런 경험을 해보신 분들이 있으시다면 공유 부탁드리겠습니다.
(다행히 랜섬웨어는 아닌거같습니다. 일주일이 지났는데 별다른 이슈는 없네요..)
6개의 답변이 있습니다.
바이러스 증상 비슷한거 같네요.
날이좋아서 | 2년 이하 전
그러게요.... 원인을 모르겠네요
윈도우 이벤트 로그에는 아마 안나올거고
백신 검색해보니 특이점이 없다면
메일에서 첨부파일 다운로드가 걸린덧 같네요
예를 들어 다운로드를 1번 했는데 반응이 없고
클릭을 본인도 모르게 지속적으로 누르거나
키보드에 의해서 그럴수도 있거든요
엑셀 파일 1–50까지 생긴적도 있었습니다
날이좋아서 | 2년 이하 전
이거참 본인은 아니라고만 하니 답답하네요
바이러스가 아니면 다행입니다만.
악성 매크로 같은것도 의심되긴 합니다.
날이좋아서 | 2년 이하 전
네.. 백신 검사 한번 돌려봐야겠네요
Excel과 같은 문서 파일이 파일명 뒤에 (1), (2), (3), ... 과 같이 계속 생성되었다면...
인터넷 문서를 다운로드 했을 가능성이 높아 보이네요.
인터넷에 있는 문서가 다운로드 된다는 것은... 명시적으로 "다운받기" 같은 액션을 취해 줘야만 다운로드 되는 것이 아니라 인터넷에 있는 문서의 URL을 클릭해서 열기 시도를 하면 자동으로 파일이 다운로드 되게 됩니다.
제일 처음에 클릭했을때는 원래 파일명 그대로 다운로드되게 될 것이고, 다음번 클릭했을 경우에는 이전에 다운 받아진 동일한 파일명이 있기 때문에 이전에 저장되어 있는 파일을 보호하기 위해 파일명 뒤에 (1)과 같은 숫자를 자동으로 붙여서 다운받아지게 됩니다.
이런 내용을 잘 모르는 사람이 자기도 모르게 클릭하고서 뭐지?? 뭐지?? 이상하다..? 하면서 클릭 하고, 또 클릭하다 보면 숫자값이 증가된 새로운 파일이 계속 생기게 되는 것이고요.
적으신 본문 내용과 아래에 댓글의 내용을 종합해서 본다면 가장 가능성이 있는 내용이 동일한 파일을 반복적으로 다운받아서 생긴 결과로 보입니다.
다운 받은게 확실히... 절대로 아닌데도 저런 파일들이 생성 계속 생성되고 있다면 악성 코드가 작동하고 있다고 보는게 맞을 것 같고요.
무언가 내부 script 가 돌고 있는게 아닌가 하네요.
웹서버에 업로드 되었던 파일이 다운된다고 하면,
해당 웹서버에 접속하는 접점에서 무언가 일어나고 있다는 건데,
자동 로그인 등의 정보들을 삭제 해 보고, 해당 서비스 로그인 하는데 있어서
다른 프로그램이 설치되는지 등도 체크 해 보셔야 할 듯 하네요.
날이좋아서 | 2년 이하 전
네 답변 감사합니다.ㅎㅎ
Sample, Sample(1)... 이런식이라는 것은 동일한 이름으로 파일이
다운로드되면서 넘버링된것으로 보입니다.
sample 파일의 내용은 없는지요?
특정 프로그램에서 설정에 따라 sample 파일을 남기게 했거나
윈도우 작업 스케줄러에 작업 등록되어 파일을 남기게 하는 경우이지 않을까요?
Tray에 돌고 있는 프로그램 하나씩 보시면서 체크 해보시고
윈도우 작업 스케줄러 작업이나 로그 한번 체크해보세요.
날이좋아서 | 2년 이하 전
답변 감사합니다.
sample 은 제가 예시를 위해 넣은거였고, 실제로는 특정 파일명이 있었습니다.
해당 파일은 사내 웹서버에 업로드된 파일이었는데
해당 사용자가 다운로드 한적은 없다고한 상태입니다...