이상하게 실행중인 반디집을 발견했습니다.

[Jae-Hyung Lim]

상황은 이렇습니다.

1. PC가 느려진 느낌을 받았습니다.

2. 작업관리자를 확인해보니 7zG.exe 가 큰 메모리를 사용중이며, 이상한 파일에 접근중임을 확인했습니다. (C:\Users\Administrator\.... 에 있는 파일)

3. 7zip 을 suspend 로 변경했습니다.

4. 그랬더니 7zip은 종료되고, 반디집이 실행되어 유사한 행위를 하고 있었습니다.

- C:\Users\Administrator\Downloads\aaa\ 경로에 이상한 파일들에 접근하고 있었습니다.

- 파일명은 한글이었고, 확장자는 pdf, hwp, zip 등이었으나, 이 파일들은 제가 만들거나 다운로드 한 적이 없는 파일명이었습니다.

정황상 악성코드가 의심되지만, 모니터링하려고 세팅을 마치자 프로세스가 사라지고 상황이 종료됐습니다.

관련된 스크린샷을 첨부합니다.

이때 반디집은 /usemmf bzfmmf....... 라는 인자로 실행되고 있는데, 이것이 무엇인지 궁금합니다.

따로 경로가 넘어가지도 않았는데 이상한 경로에 접근하고 있었던 것이 이해되질 않습니다.

[KH Park]

안녕하세요. 반디집 개발자입니다.

먼저 /usemmf 파라메터는 탐색기 메뉴에서 우클릭으로 반디집을 실행시키는 과정에서

파라미터가 너무 길어지면, 메모리 맵드 파일(mmf) 을 통해서 파라미터를 전달할 때 사용하는 명령어 입니다.

만일 직접 반디집을 실행시키신적이 없는데 반디집이 저절로 실행되었다면 

현재 생각해 볼 수 있는 시나리오는 시스템에 설치된 악성코드가 시스템에 7z 이나 반디집이 설치되었는지 확인해 보고

7z.exe 나 bandizip.exe 를 통해서 뭔가 작업을 시도했다고 볼 수 밖에 없어 보입니다.

감사합니다.

--
You received this message because you are subscribed to the Google Groups "Bandizip for Windows forum" group.
To unsubscribe from this group and stop receiving emails from it, send an email to bandizip-win...@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/bandizip-win/c940697e-dc2e-4e2e-b996-0afbf1847e4cn%40googlegroups.com.