해당 프로그램의 설치 파일(MD5 : 360a86ee101b3fa8e25603026e9a3247)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 12/44) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\infopop.exe :: 팝업창 생성 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloat.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloats.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\uninstall.exe :: 프로그램 삭제 파일
| 파일명 | MD5 | 보안 제품 | 진단명 | VirusTotal |
| livefloat.dll | 092187179b8cc311658db04445d309a2 | AhnLab V3 | Win-PUP/Helper.LiveFloats.631296 | 7/44 |
| livefloats.exe | 1dee2733518401c4c0bfd3b638b12512 | AhnLab V3 | Adware/Win32.Rogue | 8/43 |
먼저 Live Float 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat] 폴더에 파일을 생성하여 사용자가 설치 여부를 확인하기 매우 어렵습니다.
O
- CLSID : {269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
- 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloat.dll
해당 팝업창 광고를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "O" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.
간단하게 Live Float 광고 프로그램의 기능을 살펴보았으며, 이 글의 핵심인 추가적인 악성 파일 다운로드 및 설치에 대한 부분을 살펴보도록 하겠습니다.
초기 Live Float 프로그램 설치 과정에서 시작 프로그램으로 등록된 livefloats.exe 파일은 추가적으로 2개의 파일을 [C:\WINDOWS\Temp] 폴더 내에 다운로드하도록 구성되어 있습니다.
- h**p://dwn.v*l*y.co.kr/cn/bullsboot.exe
- h**p://dwn.v*l*y.co.kr/cn/launcher-util.exe
| 파일명 | MD5 | 보안 제품 | 진단명 | VirusTotal |
| bullsboot.exe | 81a119f7f47663c03053e76146f54fe9 | |||
| launcher-util.exe | 6a6ee465911902f3b590b8dd0a02e612 | AhnLab V3 | Adware/Win32.KorAd | 8/44 |
다운로드된 launcher-util.exe 파일은 자가 복제 방식을 통해 [C:\WINDOWS\system32\launcher-one.exe] 파일을 생성합니다.
해당 파일은 Launcher Agent Service라는 이름으로 서비스에 등록되어 시스템 시작시마다 자동으로 실행된 후 스스로 서비스 중지 상태를 유지합니다.
특히, 해당 서비스는 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제를 하지 않을 경우 차후 추가적인 다운로드를 통해 악의적 기능을 수행할 수 있습니다.
또 다른 다운로드된 bullsboot.exe 파일은 [C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe] 파일을 생성하여 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.
참고로 infopun.exe(MD5 : 44729474a8b6207b6b70fcd722497913) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Adware/Win32.UBar (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.
시작 프로그램으로 등록된 infopun.exe 파일을 시스템 시작시 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더에 사용자 동의없이 6종의 악성코드 제거 프로그램, 개인정보 확인 프로그램, 검색 도우미, 바탕 화면 및 즐겨찾기 바로가기 아이콘 생성 프로그램 등의 설치 파일을 다운로드하여 설치가 이루어집니다.
| 파일명 | MD5 | 보안 제품 | 진단명 |
| ClearPCSetupS3.exe | f40a214d765d821a4da5d5002fd5b278 | Hauri ViRobot | Spyware.Agent.4049137 |
| install_p1.exe | 7871f63f77e46c2192abc56bad67a5aa | Microsoft | TrojanDownloader:Win32/Fakr.A |
| sec_p2.exe | a2263956e3b668109112638df89a2da9 | AhnLab V3 | Downloader/Win32.Adload |
| ISWebCP.exe | 37aaa8ca3c0f972ec3253d8b2d7beb76 | avast! | Win32:PUP-gen [PUP] |
| nn341_ezsearch.exe | c04dc2bff5af9765b8c266d656b53ffe | AhnLab V3 | Win-Trojan/Agent.1557578 |
| fvhome2.exe | 814cc696084de9144b1905b4aedee9bb | Dr.Web | Win32.HLLM.Julio.161 |
사용자는 이런 과정을 통하여 어떤 과정을 통해 다수의 원치 않는 프로그램이 설치되었는지 제대로 알 수가 없으며, 프로그램을 삭제하여도 차후에 또 다른 프로그램 또는 동일한 프로그램이 재설치되는 문제가 발생할 수 있습니다.
먼저 이런 문제를 최초로 제공한 광고 프로그램을 삭제하시기 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Live Float] 삭제 항목을 이용하여 삭제하실 수 있습니다.
하지만 광고 프로그램은 삭제가 되어도 livefloats.exe 파일을 통해 추가적으로 설치된 서비스 등록 파일과 추가적인 시작 프로그램 관련 파일이 삭제되지 않으므로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\uninstall.exe
- C:\WINDOWS\system32\launcher-one.exe
- C:\WINDOWS\system32\sircheckfile.dat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- infopun = C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe
- livefloatv3 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloats.exe
HKEY_CURRENT_USER\Software\alsef
HKEY_CURRENT_USER\Software\infopun
HKEY_CURRENT_USER\Software\livefloatpp
HKEY_CURRENT_USER\Software\winupp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\livefloat.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\livefloat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\livefloat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Launcher Agent Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Launcher Agent Service
그 외에 infopun.exe 시작 프로그램을 통해 사용자 몰래 설치된 프로그램은 제어판에 등록된 [NClearPC 1.0], [protectinfo uninstall], [SideMatch], [WebCompass(웹컴파스)], [Win Search forsecretkey] 삭제 항목을 이용하여 삭제하시기 바랍니다.(※ 바탕 화면과 즐겨찾기에 등록된 G마켓, 옥션, 11번가 인터넷 쇼핑몰 바로가기 아이콘은 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제해야 합니다.)
해당 감염 사례는 최초 광고 프로그램은 사용자 동의를 얻어서 설치가 이루어지지만 설치 과정에서 사용자 몰래 추가적인 다운로드를 통해 다수의 프로그램을 설치하는 행위가 있으므로 주의하시기 바랍니다.