비트코인??? 코인채굴 프로그램 yiluzhuanqianser backend service ( Malware / 멀웨어 / 바이러스 )

yiluzhuanqianser backend service

암호화폐 채굴서비스 관련 프로그램 이다.

SSH(Secure Shell), Telnet 및 FTP(File Transfer Protocol) 서비스를 사용하는 마이닝봇, MinerBot 이라고 한다.

멀웨어로 분류되는 모양이다.

메모리하고 그래픽관련 리소스를 다 잡아 먹는다.

작업 관리자에서 봐도 직접적으로 잡아먹는게 아니라서 눈에 띄지를 않는다.

검색해도 정보도 없고, 저게 대체 뭔지 찾기가 힘들었다.

 

삭제방법

일단 윈도우 서비스를 찾아 가보니 'yiluzhuanqianser backend service' 라는 이름의 서비스가 실행중이다.

당연히 종료 하고 자동실행도 정지 시켜 준다.

 

 

 

그리고 실행파일 경로에 있는 위치를 찾아 들어간다.

 C:\Intel\64\64\ 위치에 mservice.exe 라는 파일이 있다.

그냥 삭제하기 전에 뭐가 적혀 있나 봤다.

일단 start.bat 의 배치 파일을 들어다 본다.

관리자 권한 획득기능과 mservice.exe 서비스 실행부분이 있다.

 

역시나 stop.bat 파일도 열어봤다.

mservice.exe 서비스를 종료, 삭제 시킨다.

 

 

그리고 가장중요한부분

conf.json 파일을 열어봤다.

1992 포트를 사용하고, 
https://api.yiluzhuanqian.com/v1/member/login
https://api.yiluzhuanqian.com/v1/device/reg
https://api.yiluzhuanqian.com/v1/device/realtime
https://api.yiluzhuanqian.com/v1/device/type-report
wss://ws.yiluzhuanqian.com/socket

wss 라는게 뭔지 잘 모르겠지만 코인을 채굴하고 일정량이 되면 지갑으로 전송하는등의 역할을 하는거 같다.

토큰같은건지...

 

마지막 init.bat 파일까지 마저 열어봤다.

user id 가 입력되어 있다.

user_id 82886... 저 user가 이 멀웨어를 심은 주인인듯하다.

 

 

여튼 남의 컴퓨터를 갉아 먹는 못된프로그램 삭제를 위해 해당폴더를 통으로 날렸다.

 

어떤 멀웨어는 어딘가 백도어 프로그램을 심어놔서 랜덤한 시간에 다시 프로그램을 다운받아 실행시켜서 깨끗하게 정리하기 힘들게 해놨던데, 다행히 이건 그런 기능은 없는듯하다.

 

여튼... 이런 멀웨어가 몇년째 돌아댕기는데, 검색도 안될정도록 정보가 없다는건 참... 안타깝다.

 

 

[추가]