언제부터 였을까요?
기억도 나지 않지만 약 6개월 이상은 된 거 같네요.
CPU 기본온도가 항상 60도 이상을 유지하기 시작한 것이 말이죠.
작업관리자를 봐도 CPU 사용률은 5% 미만이고 CPU 쿨러도 정상작동 중이라,
'아 이건 써멀 재도포 각이다' 라고 생각만 하고 귀찮아서 계속 사용을 했었습니다.
그런데 어느날 이상한 점을 발견합니다.
60도이상이던 온도가 작업관리자만 켜면 순식간에 34도로 내려가는 겁니다.
'이거 혹시 작업관리자를 켜는 순간 숨어버리는 악성 프로세스가 있는건가?'
그래서 서드파티 작업관리자 프로그램인 'Process Explorer' 류의 프로그램을 3개정도 설치 후
프로세스를 확인해 봤지만 여전히 cpu 사용률은 5%미만에 마찬가지로 해당 프로그램을 실행하면
온도가 순식간에 내려가고 몇 십분 후에는 다시 온도가 60도 이상으로 유지가 됐습니다.
그러다 윈도우 기본프로그램인 '리소스 모니터' 가 기억이 났고, 바로 실행결과
와...드디어 잡았다 이 xx끼....
TiWorker.exe
이놈입니다. 계속 지켜보니 50%를 계속 쳐묵 쳐묵 하고 있습니다.
문제는 제가 어떤 작업을 해도 50% 고정입니다.
저는 지금까지 제 CPU의 반도 안되는 성능만 쓰고 있었습니다.
전기요금은 덤이고요.
신기하게도 작업관리자만 켜면 종료가 됐다가 다시 몇 십분 후에 기어 나옵니다.
진짜 악질 악성프로그램이죠.
구글링 해보니 아무래도 채굴 관련 악성 프로그램인 듯 싶었습니다.
악성프로그램 제거로 유명한 '멀웨어 제로'를 돌려 봤으나 사라지지 않았습니다.
내키진 않지만 어쩔 수 없이 찰스 형의 힘을 빌려 v3 lite 설치 후 정밀검사를 실행했더니 뭔가 잡혔습니다.
와 드디어 해당 프로세스가 더 이상 보이지 않습니다.
시피유 온도가 31~34도를 유지하네요...
몇 개월 동안 누군가에게 내 전기요금으로 코인을 채굴해 줬다는 사실이 빡치지만
이런 경우도 있다는 것과 해결방법도 알았다는 것에 위안을 삼습니다.
비슷한 증상이 의심되는 경우 리소스 모니터를 확인해 보세요!
참고자료
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&curPage=1&seq=28616
악성 프로그램은 아니고..
윈도우에 뭐가 꼬여서 점유율을 많이 차지 할 뿐이죠..
본문처럼 TiW"a"rker.exe 라면 악성 프로세스 의심을 할 수 있을테지만..
캡쳐를 볼때는 TiWorker.exe 로 보입니다.
참고한 내용입니다. 프로세스 이름은 o가 맞아서 수정했습니다.
이러면 보안 프로그램에서도 회피할 수 있고 일반인들이 윈도우 정상 파일이니까 악성 코드는 아니라고
착각할 수 있죠.
저도 보안했던 입장에서 말씀드립니다.
TiWork.exe 는 시스템 프로그램으로 일반적으로 변조가 쉽지 않습니다.(윈도우는 시스템 프로그램이 훼손되지 않도록 보호 또는 즉시 복구 합니다.)
그래서 안랩링크에서도 확인해보시면.. TiWorker.exe와 유사해 보이는 TlWorker.exe (I가 아니라 L입니다.)의 형태로 화일을 드랍합니다.(프로세스 모니터로 볼 때 시스템 파일 같아보이지만 사실은 악성코드임)
진짜 TiWorker.exe가 악성코드인가에 대한 답은...
V3Lite로 뭔가 검출하셨다고 하셨는데..
검역소 등에 검출한 이력이 확인되실겁니다.
그 내용을 공유해 주시면 더 좋을 겁니다.
처음에 위와 같은 증상의 경우 TiWorker.exe가 정상파일인가 악성코드인가에 대한 답은...
작업 관리자에서 해당 프로세스에 마우스 오른쪽 버튼을 누르고 속성을 선택했을 때 두번째 탭쯤에 디지털 서명이 MICROSOFT로 되어 있으면 정상 파일이라고 보시면 됩니다.
그리고 위 참고 링크에 보면 말씀하신 Tl~파일도 언급되지만 그전에 Ti~파일도 존재했었다고 언급을 하고 있습니다.
tiworker.exe is part of the Windows Module Installer Service. TrustedInstaller.exe is its parent process and both work together to provide Windows Updates for your PC. Without tiworker.exe Windows Update cannot work properly, and you will no longer reliably get updates for your PC.
https://www.glasswire.com/process/tiworker.exe.html
/Vollago
물론 여러 케이스가 있기에
바이러스 검사도 해보고
해야 겠네요
저도 참고 하겠습니다
채굴 악성코드 중에 작업 스케줄에 등록해서 일정 주기로 tiworker를 실행하는 놈이 있습니다. 당연히 저 실행 파일은 숨겨져 있고 접근이 쉽지도 않습니다. 윈도 시스템 파일과는 이름만 같지 다른 파일이구요
sysmon 이라는 프로그램으로도 볼 수 있을거에요
작업관리자만 켜면 해당프로세스가 사라지면서 숨는 것도 이상하거니와, 윈도우 업데이트 프로그램이 정확히 cpu 점유율을 50%를 유지하면서 몇 달동안 켜져있을 거 같진 않습니다.
SSD 도입 이후로 이제 윈도우 풀 패치 시간이나 재설치 시간이나 거의 비슷하더군요.
어차피 요즘에는 따로 쓰는 프로그램도 거의 없으니 재설치 자주 해도 사용에 별 지장 없더군요.
설치하는데 오래 걸리는 게임등은 steam 등 같은 경우, 다시 깔 필요 없이 경로만 원래 경로로 지정해주면 다시 자동 연결됩니다.
자잘한 프로그램들은 저는 미리 어떤 폴더에 모아 둡니다. 설치없이 그냥 링크 연결로 바로 씁니다.