본문 바로가기

벌새::Analysis

검색 도우미 : 라이브키(LiveKey)

728x90
반응형
국내에서 제작된 검색 도우미 프로그램 라이브키(LiveKey) 제품에 대해 살펴보도록 하겠습니다.

생성 폴더, 파일 정보


해당 프로그램은 윈도우 시작시 livekey_u.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

실행된 프로그램은 livekey_u.exe 프로세스를 생성하여 동작하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 livekey_helper.dll 파일을 BHO 방식으로 인젝션(Injection)하여 동작하도록 구성되어 있습니다.

실제 Internet Explorer 상에서 동작하는 형태를 보면, 그림과 같이 사용자가 검색 사이트에서 특정 검색어를 입력할 경우 하단에 해당 프로그램 관련 검색바가 생성되는 것을 확인할 수 있으며, 프로그램이 제공하는 검색을 이용할 경우 오버추어와 연동하는 것으로 보입니다.

해당 프로그램은 정상적인 프로그램이 등록한 BHO 동작 관련 프로그램의 이용을 방해하는 것을 확인할 수 있으며, [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CLSID 등록값}] 레지스트리 항목에 등록된 정상적인 항목을 모두 삭제처리를 하고 자신의 프로그램이 등록하는 BHO 등록값인 {9DE4E816-D437-4291-AD10-526528F9D182} 항목만 생성하는 행위를 확인할 수 있었습니다.

프로그램 삭제는 제어판의 [livekey] 삭제 항목을 이용하여 삭제하실 수 있습니다.

해당 프로그램의 삭제하실 때에는 반드시 작업 관리자의 프로세스 항목에서 livekey_u.exe 프로세스를 수동으로 종료하시기 바라며, BHO 방식으로 동작하는 프로그램이므로 모든 프로그램을 종료한 상태에서 삭제를 하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\adbar.Adbar
HKEY_CLASSES_ROOT\adbar_loader_bho.AdbarLoader
HKEY_CLASSES_ROOT\CLSID\{9B977834-8ACC-4260-ADB1-64AA8DDE2141}
HKEY_CLASSES_ROOT\CLSID\{9DE4E816-D437-4291-AD10-526528F9D182}
HKEY_CLASSES_ROOT\Interface\{335AB869-2302-43B2-B06E-01F32189F8E7}
HKEY_CLASSES_ROOT\Interface\{9CF55CC4-BFD5-4AD6-AC63-9B6BD145463B}
HKEY_CLASSES_ROOT\TypeLib\{3BB2DF04-C5AB-431E-9E7C-132166933BDD}
HKEY_CLASSES_ROOT\TypeLib\{FAEB353B-8606-4A3F-B395-0AF630750391}
HKEY_CURRENT_USER\Software\livekey
HKEY_LOCAL_MACHINE\software\livekey
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{9B977834-8ACC-4260-ADB1-64AA8DDE2141}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9DE4E816-D437-4291-AD10-526528F9D182}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - livekey_u = C:\Program Files\livekey\1.0.1\livekey_u.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\livekey_is1

728x90
반응형