크롬에 자동으로 쇼핑몰 북마크 (즐겨찾기) 추가하는 악성코드 삭제 후기 Feat. Chat GPT (tabservicepack)

안녕하세요.

요즘 크롬을 쓰면서 갑자기 쇼핑몰 북마크가 자동으로 추가되거나, 새 탭이 열릴 때마다 쇼핑몰 페이지가 나타나는 불편함을 겪었어요.

처음엔 뭐가 문제인지 몰라서 인터넷도 뒤지고 했는데, 결국 직접 컴퓨터 안을 들여다보고 분석해 보았습니다!
 
Chat GPT 에게 도움을 받아 간단히 해결 했습니다.
 

---

 

🖥️ 문제 발생 상황

• 크롬을 켤 때마다 평소와 다르게 자동으로 쇼핑몰 북마크가 추가돼 있어요.
• 새 탭을 열면 알 수 없는 쇼핑몰 사이트가 자동으로 열려서 매우 불편했습니다.
• 악성 코드로 판단 해서 뒤져보기 시작했습니다.

 

---

 

🔍 직접 분석 시작!

1. 우선 설치된 프로그램들을 봤지만 수상해보이는 프로그램은 없었습니다.
2. 먼저 실행 중인 프로세스들을 Chat GPT 에게 분석 시켜 보고 싶어서 명령어를 물어봤습니다. CMD 에서 간단하게 뽑아낼 수 있더라구요.
   

   tasklist > process_list.txt

    위 명령어로 추출한 txt 파일을 Chat GPT 에게 문의하니 분석을 해 주었습니다.
   이름이 대놓고 수상한 tabservicepack.exe 라는 프로세스가 상시 실행 되고 있더라구요.
   애플리케이션 목록에는 없는 프로그램 이었습니다.
   

   

3. 각 프로세스의 위치 확인을 위해 다음 명령어를 사용해서 파일로 뽑아내고, 역시 Chat GPT 에 업로드 했습니다.
   

   wmic process get name,executablepath > proc_paths.txt

   
   Chat GPT 가 tabservicepack의 위치를 찾아줬어요.
   

   

   
   
   
4. 해당 디렉토리에 가보니 유명 쇼핑몰 URL이 가득 담긴 XML 파일과 함께 실행 프로그램이 존재했습니다!
   파일 이름이 너무 대놓고 악성코드더라구요. (파일 목록 : ad_config.xml, ad_shortcutbookmark.xml, tabservicepack.exe)

 
 
 
 
 

---

🛑 악성코드 확인!

이 XML 파일과 실행 프로그램을 ChatGPT에 올려 분석해 보니…
명확한 악성코드로 확인되었습니다!
자동으로 쇼핑몰 북마크를 추가하고, 새 탭을 통해 광고성 페이지를 여는 악성 프로그램이 분명했습니다.
프로세스를 강제로 중단 하고, 해당 디렉토리는 삭제를 해주었습니다.
 
우선 컴퓨터를 사용하며 같은 문제가 반복 되지 않는지 확인해봐야겠어요.

---

✅ Chat GPT 가 남겨준 교훈

• 모르는 프로세스나 폴더가 있다면 꼭 경로와 파일을 확인하세요.
• 실행 중인 프로세스 목록을 정기적으로 점검하는 습관이 필요합니다.
• 악성코드 의심 시, 파일 내용을 꼼꼼히 분석하거나 전문가 도움을 받는 것이 좋습니다.
• 특히, 인터넷 쇼핑몰 관련 악성코드는 사용자 몰래 광고를 퍼뜨리거나 개인정보를 빼낼 위험도 있으니 조심해야 합니다.