본문 바로가기

벌새::Analysis

[삭제] Libra version 1.0.0

국내에서 제작되어 시스템 트레이 상단에 주기적인 팝업창 광고 생성 및 광고창 노출이 이루어지는 Libra version 1.0.0 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 다수의 유사한 기능을 하는 변종이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\Libra
C:\Program Files\Libra\libra.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Libra\unins000.dat
C:\Program Files\Libra\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\Libra\urp.exe

 

해당 프로그램은 [C:\Program Files\Libra] 폴더에 파일을 생성하며, Windows 시작시 libra.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

GET /version_libra.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

GET /libra/ngliveins.php?pmac=0&lmac=(사용자 Mac Address)&ip=(사용자 IP)&pid=libra HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

GET /toschk.php?pid=libra HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive


시스템 시작시마다 자동 실행되는 libra.exe 파일은 특정 서버에 연결을 시도하여 파일 버전 체크, 설치 PC 고유 정보, 특정 광고 관련 정보를 체크하는 동작이 이루어지고 있습니다.

 

 

해당 프로그램이 설치된 환경에서는 일정 시간 주기로 시스템 트레이 상단에 클릭n바이 팝업창이 생성되며, 사용자가 해당 광고를 클릭할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

 

 

또한 사용자가 인터넷을 이용한 후 웹 브라우저를 모두 종료하는 시점에서 G마켓과 같은 광고창이 생성되는 동작을 확인할 수 있습니다.

 

 

해당 광고창 접속 로그를 살펴보면 특정 광고 코드가 포함되어 특정 조건을 만족할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

 

 

프로그램 삭제시에는 작업 관리자에서 libra.exe 프로세스를 수동으로 종료한 후, 제어판의 [Libra version 1.0.0] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Libra = C:\Program Files\Libra\libra.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B9EB0882-79F8-4680-988C-D2317BA669F9}_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 인하여 설치 여부를 사용자가 제대로 인지하지 못할 수 있으며, 원치 않는 광고가 주기적으로 노출되는 문제가 있으므로 주의하시기 바랍니다.