h2inc, campt 문제

[폭주공룡]

 안녕하세요 귀사의 프로그램, 반디집, 꿀뷰를 감사하게 사용하고 있는 유져입니다.

 실은 어제부터 이상하게 vram 사용량이 늘어서 컴퓨터가 버벅거리고 있어 여러가지 체크를 하던중

 귀사의 프로그램 반디집 안의 파일 2개가 감염이 되어었었습니다.

 평소사용하던 avast 프리가 아닌 터보백신 온라인을 사용해봤는데 첨부된 파일 2개가 바이러스에 걸렸습니다.

 h2inc의 경우엔 작업관리자에서 계속 상주해있었더군요.

 검사후 반디집을 급히 삭제하고 폴더를 다시 들어가보니 프래그램 파일 안의 파일 4개는 삭제가 안되어있었고

 사용자 안의 로컬 프로그램 안의 파일들은 그대로 있었습니다.

 삭제안된 파일 4개는

 cudart32_80.dll,  cudart64_80.dll, h2inc.exe, upminf

 이렇게 4개였습니다.

 반디집을 일단 삭제를 하고 다시 인스톨하니 위의 4개의 파일은 없었습니다.


 
 컴퓨터가 오염되어있는게 싫어서 바로바로 삭제를 해버려서 스샷을 찍는것을 잊었습니다...



 문제는 저는 프로그램을 사용할때는 꼭 공식홈에 있는 파일을 사용한다는 것입니다.

 네이버 자료실이나 블로그에 올라와 있는 것은 절대 사용 안합니다.

 즉 귀사의 프로그램이 누군가에 의해 타겟이 되어있었다는 것인데요.

 어림풋이 기억나는데 h2inc의 멜웨어 이름이 비트코인... 뭔가 그랬던거 같습니다.

 저는 비트코인에 관한 프로그램을 설치한 적이 없습니다.


 조속히 조치를 취하셔야 할거 같아 이렇게 포럼에 글을 올립니다.


 귀사의 발전을 빕니다.

[KunHong Park]

안녕하세요. 반디집 개발자입니다.

올려주신 스크린샷을 보아도 그렇고, 바로 아래에도 비슷한 글이 있는것으로 보아, 

누군가가 저희 회사제품이 설치되는 폴더에 악의적으로 비트코인 채굴 프로그램을 설치한 것으로 보입니다.

다만, 해당 프로그램은 저희 회사 공식 홈페이지를 통해서 배포된것은 아닌 것으로 보입니다.

(저희는 홈페지이에 올라온 파일이 혹시라도 변조되는지 여부를 별도로 감시하고 있습니다.)

올려주신 스크린샷만 보아도, 반디집이 설치된 시간은 2017년 6월 26일 오후 11시 입니다만,

채굴에 관계된 것으로 보이는 H2INC 나 cudart 등의 dll 파일은 전부 2017년 7월 23일 오전 1시에 생성된 파일입니다.

즉, 해당 시간에 어떤 프로그램을 설치하셨거나, 어떤 작업을 하셨을때 해당 악성 코드가 사용자의 의심을 피하기 위해서

반디집 폴더 (c:\Program Files\Bandizip\) 에 파일을 생성한 것으로 보입니다.

제어판의 "프로그램 제거 또는 변경" 항목을 보시면 프로그램의 설치 날짜를 확인하실 수 있으니

혹시 7월 23일 어떤 프로그램을 설치하지 않으셨는지 확인좀 해 주셨으면 합니다.

(그리고, 해당 H2INC 파일을 분석하고자 하오니, Bandizip 폴더를 통채로 압축을 해서 ap...@bandisoft.com 으로 보내주셨으면 합니다.

확인 후 kisa 등에 신고 조치를 취하도록 하겠습니다.  참고로 gmail 은 exe 파일을 zip 으로 압축하면 첨부가 되지 않으므로 반디집에서

7z 포맷 선택 후 암호를 걸어서 압축 후 첨부해 주시면 됩니다. )

감사합니다.

2017-07-24 13:56 GMT+09:00 폭주공룡 <sakur...@gmail.com>:

 안녕하세요 귀사의 프로그램, 반디집, 꿀뷰를 감사하게 사용하고 있는 유져입니다.

 실은 어제부터 이상하게 vram 사용량이 늘어서 컴퓨터가 버벅거리고 있어 여러가지 체크를 하던중

 귀사의 프로그램 반디집 안의 파일 2개가 감염이 되어었었습니다.

 평소사용하던 avast 프리가 아닌 터보백신 온라인을 사용해봤는데 첨부된 파일 2개가 바이러스에 걸렸습니다.

 h2inc의 경우엔 작업관리자에서 계속 상주해있었더군요.

 검사후 반디집을 급히 삭제하고 폴더를 다시 들어가보니 프래그램 파일 안의 파일 4개는 삭제가 안되어있었고

 사용자 안의 로컬 프로그램 안의 파일들은 그대로 있었습니다.

 삭제안된 파일 4개는

 cudart32_80.dll,  cudart64_80.dll, h2inc.exe, upminf

 이렇게 4개였습니다.

 

 컴퓨터가 오염되어있는게 싫어서 바로바로 삭제를 해버려서 스샷을 찍는것을 잊었습니다...



 문제는 저는 프로그램을 사용할때는 꼭 공식홈에 있는 파일을 사용한다는 것입니다.

 네이버 자료실이나 블로그에 올라와 있는 것은 절대 사용 안합니다.

 즉 귀사의 프로그램이 누군가에 의해 타겟이 되어있거나 귀사의 프로그램에 문제가 있었다는 것입니다.

 어림풋이 기억나는데 h2inc의 멜웨어 이름이 비트코인... 뭔가 그랬던거 같습니다.

 조속히 조치를 취하셔야 할거 같아 이렇게 포럼에 글을 올립니다.


 귀사의 발전을 빕니다.

--
You received this message because you are subscribed to the Google Groups "Bandisoft Forum" group.
To unsubscribe from this group and stop receiving emails from it, send an email to bandisoft+unsubscribe@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/bandisoft/88c5a37e-2a23-4f22-a246-bcfb331225aa%40googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

[폭주공룡]

 빠른 대응 감사드립니다.

 문제는 저도 뭐가 문제인지 몰라서 최근에 뭔가 깔았던가 했던것은 다 지웠습니다.

 7월 23일것도.. 뭔가 지운거 같긴 한데 기억이 안나네요.

 상주될만한 프로그램을 깐 기억은 없는데 말이죠. 이럴줄 알았으면 채크를 다 해볼걸 그랬습니다...

 그리고 바이러스 걸린 파일 또한 지웠습니다.';; 치료후 조치를 하다 보니 백업을 잊었네요.

 도움을 못드려서 죄송합니다.

 
 

2017년 7월 24일 월요일 오후 2시 47분 47초 UTC+9, dev.park 님의 말:

To unsubscribe from this group and stop receiving emails from it, send an email to bandisoft+...@googlegroups.com.