웹 브라우저 실행 및 새 탭 오픈시 홈 페이지(시작 페이지)를 특정 포털 사이트로 자동 이동시키며, 인터넷 검색시 다양한 광고창을 생성하는 검색 도우미 LivePlus 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 682d5aa49219050868968f9673c69da2)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Liveplus.366944 (VirusTotal : 3/46) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : ClickMonster (2012.8.20)
▷ 검색 도우미 : RealPlus (2012.10.21)
또한 해당 프로그램은 기존의 ClickMonster 계열 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.
▷ 개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)
LivePlus 프로그램 설치시에는 사용자 PC에 PC방 관리 프로그램이 존재할 경우 설치를 하지 않도록 구성되어 있습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\date_liveplus.ini
C:\Program Files\liveplus
C:\Program Files\liveplus\liveplus.exe :: 메모리 상주 프로세스
C:\Program Files\liveplus\lpupdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\liveplus\uninstall.exe :: 프로그램 삭제 파일
해당 프로그램은 Windows 시작시 lpupdate.exe 파일을 시작 프로그램으로 등록하여 광고 구성값 정보를 체크하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 웹 브라우저 실행 및 새 탭을 오픈할 경우 사용자가 지정한 홈 페이지(시작 페이지)가 아닌 "위니잼" 포털 사이트로 자동 연결이 이루어지는 동작을 확인할 수 있습니다.
홈 페이지(시작 페이지) 변경은 특정 서버에 등록된 웹 사이트 목록을 기준으로 연결이 이루어지며, 추가적인 웹 사이트 등록시 변경될 수 있습니다.
그 외에도 사용자가 인터넷 검색을 시도할 경우 광고 코드(click.interich.com)가 추가된 광고창 생성, 검색 결과 사이트 오픈시 광고창 생성 등 다양한 인터넷 활동 중에 광고창이 생성됩니다.
이런 광고 동작은 메모리에 상주하는 liveplus.exe 프로세스를 통해 검색 키워드 값, 접속 URL 값 등을 수집하여 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "liveplus" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\liveplus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- liveplus = C:\Program Files\liveplus\lpupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
liveplus
해당 프로그램은 사용자가 지정한 홈 페이지(시작 페이지)를 임의로 변경하며, 인터넷 이용시 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.