해당 프로그램의 설치 파일(MD5 : 360a86ee101b3fa8e25603026e9a3247)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 12/44) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\infopop.exe :: 팝업창 생성 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloat.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloats.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\uninstall.exe :: 프로그램 삭제 파일
파일명 | MD5 | 보안 제품 | 진단명 | VirusTotal |
livefloat.dll | 092187179b8cc311658db04445d309a2 | AhnLab V3 | Win-PUP/Helper.LiveFloats.631296 | 7/44 |
livefloats.exe | 1dee2733518401c4c0bfd3b638b12512 | AhnLab V3 | Adware/Win32.Rogue | 8/43 |
먼저 Live Float 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat] 폴더에 파일을 생성하여 사용자가 설치 여부를 확인하기 매우 어렵습니다.
O
- CLSID : {269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
- 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloat.dll
해당 팝업창 광고를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "O" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.
간단하게 Live Float 광고 프로그램의 기능을 살펴보았으며, 이 글의 핵심인 추가적인 악성 파일 다운로드 및 설치에 대한 부분을 살펴보도록 하겠습니다.
초기 Live Float 프로그램 설치 과정에서 시작 프로그램으로 등록된 livefloats.exe 파일은 추가적으로 2개의 파일을 [C:\WINDOWS\Temp] 폴더 내에 다운로드하도록 구성되어 있습니다.
- h**p://dwn.v*l*y.co.kr/cn/bullsboot.exe
- h**p://dwn.v*l*y.co.kr/cn/launcher-util.exe
파일명 | MD5 | 보안 제품 | 진단명 | VirusTotal |
bullsboot.exe | 81a119f7f47663c03053e76146f54fe9 | |||
launcher-util.exe | 6a6ee465911902f3b590b8dd0a02e612 | AhnLab V3 | Adware/Win32.KorAd | 8/44 |
다운로드된 launcher-util.exe 파일은 자가 복제 방식을 통해 [C:\WINDOWS\system32\launcher-one.exe] 파일을 생성합니다.
해당 파일은 Launcher Agent Service라는 이름으로 서비스에 등록되어 시스템 시작시마다 자동으로 실행된 후 스스로 서비스 중지 상태를 유지합니다.
특히, 해당 서비스는 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제를 하지 않을 경우 차후 추가적인 다운로드를 통해 악의적 기능을 수행할 수 있습니다.
또 다른 다운로드된 bullsboot.exe 파일은 [C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe] 파일을 생성하여 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.
참고로 infopun.exe(MD5 : 44729474a8b6207b6b70fcd722497913) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Adware/Win32.UBar (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.
시작 프로그램으로 등록된 infopun.exe 파일을 시스템 시작시 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더에 사용자 동의없이 6종의 악성코드 제거 프로그램, 개인정보 확인 프로그램, 검색 도우미, 바탕 화면 및 즐겨찾기 바로가기 아이콘 생성 프로그램 등의 설치 파일을 다운로드하여 설치가 이루어집니다.
파일명 | MD5 | 보안 제품 | 진단명 |
ClearPCSetupS3.exe | f40a214d765d821a4da5d5002fd5b278 | Hauri ViRobot | Spyware.Agent.4049137 |
install_p1.exe | 7871f63f77e46c2192abc56bad67a5aa | Microsoft | TrojanDownloader:Win32/Fakr.A |
sec_p2.exe | a2263956e3b668109112638df89a2da9 | AhnLab V3 | Downloader/Win32.Adload |
ISWebCP.exe | 37aaa8ca3c0f972ec3253d8b2d7beb76 | avast! | Win32:PUP-gen [PUP] |
nn341_ezsearch.exe | c04dc2bff5af9765b8c266d656b53ffe | AhnLab V3 | Win-Trojan/Agent.1557578 |
fvhome2.exe | 814cc696084de9144b1905b4aedee9bb | Dr.Web | Win32.HLLM.Julio.161 |
사용자는 이런 과정을 통하여 어떤 과정을 통해 다수의 원치 않는 프로그램이 설치되었는지 제대로 알 수가 없으며, 프로그램을 삭제하여도 차후에 또 다른 프로그램 또는 동일한 프로그램이 재설치되는 문제가 발생할 수 있습니다.
먼저 이런 문제를 최초로 제공한 광고 프로그램을 삭제하시기 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Live Float] 삭제 항목을 이용하여 삭제하실 수 있습니다.
하지만 광고 프로그램은 삭제가 되어도 livefloats.exe 파일을 통해 추가적으로 설치된 서비스 등록 파일과 추가적인 시작 프로그램 관련 파일이 삭제되지 않으므로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\uninstall.exe
- C:\WINDOWS\system32\launcher-one.exe
- C:\WINDOWS\system32\sircheckfile.dat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- infopun = C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe
- livefloatv3 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloats.exe
HKEY_CURRENT_USER\Software\alsef
HKEY_CURRENT_USER\Software\infopun
HKEY_CURRENT_USER\Software\livefloatpp
HKEY_CURRENT_USER\Software\winupp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\livefloat.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\livefloat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\livefloat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Launcher Agent Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Launcher Agent Service
그 외에 infopun.exe 시작 프로그램을 통해 사용자 몰래 설치된 프로그램은 제어판에 등록된 [NClearPC 1.0], [protectinfo uninstall], [SideMatch], [WebCompass(웹컴파스)], [Win Search forsecretkey] 삭제 항목을 이용하여 삭제하시기 바랍니다.(※ 바탕 화면과 즐겨찾기에 등록된 G마켓, 옥션, 11번가 인터넷 쇼핑몰 바로가기 아이콘은 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제해야 합니다.)
해당 감염 사례는 최초 광고 프로그램은 사용자 동의를 얻어서 설치가 이루어지지만 설치 과정에서 사용자 몰래 추가적인 다운로드를 통해 다수의 프로그램을 설치하는 행위가 있으므로 주의하시기 바랍니다.
감염되면 컴퓨터가 지저분해지는군요.
프로그램추가/제거에서 제대로 지워지지도 않고..
관련된 폴더, 파일, 레지스트리를 일일히 찾아서 지울바에야 차라리 깔끔하게 포맷 한번 하는게 더 낫겟어요.. 휴..
비밀댓글입니다
ask.com 관련 툴바는 해외 소프트웨어나 국내 일부 소프트웨어 설치시 추가되는 요소로 알고 있습니다.
혹시 사용자가 프로그램 설치 과정에서 실수로 인지하지 못하고 설치한게 아닌가 싶습니다.
아마 제어판에서 삭제 항목이 있을 것으로 보이므로 삭제를 해 보시기 바랍니다.
레지스트리, 프로그램 추가/제거에 서비스에 시작프로그램, IE 추가기능까지..
정말 지독한 악성코드이군요..
이 또한 ActiveX를 통해 유입되겠지만, 걸리지 않도록 유의해야겠습니다
벌새님 좋은 하루 되세요 ^^
ActiveX와는 별 상관이 없을겁니다.^^
MG게이버님도 휴일 잘 보내세요.
고객 PC를 원격으로 붙어서 열심히 지워준 기억이 나네요 ㅠㅠ livefloats.exe
요런 놈에 감염되면 정말 포멧하고 싶을겁니다.ㅠㅠ
지금 몇번째 지우고 있는건지 모르겠어요ㅋㅋㅋ짜증