본문 바로가기

벌새::Analysis

검색 도우미 : 라이브 아이콘(Live Icon) - 홈플 바로ON

반응형

바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘을 등록하여 접속을 유도하는 "라이브 아이콘(Live Icon)" 시리즈 중 "홈플 바로ON" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 17b83645e896613aedbabb17f946f3e8)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.LiveIcon (VT : 2/47) 진단명으로 진단되고 있습니다.

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 아이템베이 바로방문 라이브 아이콘 (2012.6.19)

 

라이브 아이콘(Live Icon) 프로그램은 다양한 상업적 웹 사이트 홍보 목적으로 바탕 화면에 바로가기 아이콘을 생성하는 것으로 알려져 있으므로 기존 소개한 정보를 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\베이비&키즈 최대4만원↓.lnk
C:\Program Files\LiveIcon
C:\Program Files\LiveIcon\bin
C:\Program Files\LiveIcon\bin\LiveIconHelper.exe
C:\Program Files\LiveIcon\bin\LiveIconLauncher.exe :: 시작 프로그램 등록 파일 / 프로그램 삭제 파일
C:\Program Files\LiveIcon\bin\LiveIconService.exe :: 메모리 상주 프로세스
C:\Program Files\LiveIcon\config
C:\Program Files\LiveIcon\config\homeplus.cfg
C:\Program Files\LiveIcon\config\LiveIcon.ini
C:\Program Files\LiveIcon\ico
C:\Program Files\LiveIcon\ico\homeplus_11390.ico
C:\Program Files\LiveIcon\ico\LiveIcon.ico
C:\Program Files\LiveIcon\ico\u_homeplus.ico
C:\Program Files\LiveIcon\logs
C:\Program Files\LiveIcon\logs\LiveIconLauncher.exe.log
C:\Program Files\LiveIcon\logs\LiveIconService.exe.log
C:\Program Files\LiveIcon\temp
C:\Program Files\LiveIcon\update

해당 프로그램은 "C:\Program Files\LiveIcon" 폴더 내부에 관련 파일들을 생성하며, Windows 시작시 "C:\Program Files\LiveIcon\bin\LiveIconLauncher.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일은 프로그램 버전 및 바탕 화면 바로가기 아이콘 등록 정보를 체크합니다.

프로그램이 설치된 환경에서는 바탕 화면에 "베이비&키즈 최대4만원↓" 바로가기 아이콘을 등록하며, 해당 바로가기 아이콘을 통해 다음과 같은 웹 사이트 접속이 이루어질 수 있습니다.

홈플러스 인터넷 쇼핑몰 접속 과정에서는 구글(Google) 단축 URL 값을 경유하여 제휴 코드가 추가된 형태로 연결이 이루어집니다.

해당 프로그램이 실행되면 LiveIconService.exe 프로세스가 메모리에 상주하므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 LiveIconService.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "홈플 바로ON" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 생성되는 "바로방문 아이콘(LIVE ICON) 제거" 창에서 "지금 제거합니다"를 클릭하시면 됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\LiveIcon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - LiveIcon = C:\Program Files\LiveIcon\bin\LiveIconLauncher.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
LiveIcon_homeplus
HKEY_LOCAL_MACHINE\SOFTWARE\TComms

  • 2012년 8월 14일(하프클럽 바로방문 쇼핑아이콘) : h**p://download.live****.co.kr/tricycle/setup-halfclub.exe (MD5 : dc06dc5c7af8dcc500200c2791ecb180) - AhnLab V3 : PUP/Win32.LiveIcon (VT : 2/47)
  • 2012년 8월 16일(웰스토리몰 바로접속 쇼핑아이콘) : h**p://download.live****.co.kr/welstorymall/setup-welstorymall.exe (MD5 : 760ac591ad08f6ba914fb430a0527b22) - AhnLab V3 : PUP/Win32.LiveIcon (VT : 4/47)
  • 2013년 3월 15일(WIZWID 바로 온) : h**p://download.live****.co.kr/wizwid/setup-wizwid.exe (MD5 : 854ce243d8b8ab916775b788dfb3e76b) - AhnLab V3 : PUP/Win32.LiveIcon (VT : 2/47)

라이브 아이콘(Live Icon) 프로그램은 과거부터 웹 사이트 홍보 목적으로 다양한 이름의 프로그램을 배포하고 있는 것으로 확인되고 있으므로, 원치 않는 홍보 목적의 바로가기 아이콘 프로그램이 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형