본문 바로가기

벌새::Analysis

국내 악성코드 : Live Float

728x90
반응형
국내에서 제작되어 인터넷 검색시 시스템 트레이 상단에 팝업창 광고를 생성하는 Live Float 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 360a86ee101b3fa8e25603026e9a3247)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 12/44) 진단명으로 진단되고 있습니다.

 

해당 프로그램은 ① Live Float 광고 프로그램을 통한 추가 다운로드 ② 사용자 몰래 등록되는 서비스 항목 ③ 사용자 몰래 다수의 프로그램 설치 행위를 가지고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\infopop.exe :: 팝업창 생성 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloat.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloats.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\uninstall.exe :: 프로그램 삭제 파일
 
파일명 MD5 보안 제품 진단명 VirusTotal
livefloat.dll 092187179b8cc311658db04445d309a2 AhnLab V3 Win-PUP/Helper.LiveFloats.631296 7/44
livefloats.exe 1dee2733518401c4c0bfd3b638b12512 AhnLab V3 Adware/Win32.Rogue 8/43

먼저 Live Float 프로그램은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat] 폴더에 파일을 생성하여 사용자가 설치 여부를 확인하기 매우 어렵습니다.

 

해당 Live Float 광고 프로그램의 기본적인 동작 방식은 사용자가 인터넷 검색 과정에서 시스템 트레이 상단에 팝업창을 생성하며, 해당 팝업창을 클릭할 경우 특정 사이트로 접속이 이루어지고 있습니다.

 

연결되는 팝업창 접속 로그를 확인해보면 특정 광고 코드가 포함되어 접속이 이루어지는 것을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

O

 - CLSID : {269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloat.dll

해당 팝업창 광고를 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "O" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

프로세스 정보를 확인해보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 livefloat.dll 파일을 BHO 방식으로 추가하여 동작하며, 특정 검색어에 따라 infopop.exe 프로세스가 추가되면서 팝업창 광고가 생성되는 것을 확인할 수 있습니다.

간단하게 Live Float 광고 프로그램의 기능을 살펴보았으며, 이 글의 핵심인 추가적인 악성 파일 다운로드 및 설치에 대한 부분을 살펴보도록 하겠습니다.

초기 Live Float 프로그램 설치 과정에서 시작 프로그램으로 등록된 livefloats.exe 파일은 추가적으로 2개의 파일을 [C:\WINDOWS\Temp] 폴더 내에 다운로드하도록 구성되어 있습니다.
 
  • h**p://dwn.v*l*y.co.kr/cn/bullsboot.exe
  • h**p://dwn.v*l*y.co.kr/cn/launcher-util.exe 
파일명 MD5 보안 제품 진단명 VirusTotal
bullsboot.exe 81a119f7f47663c03053e76146f54fe9      
launcher-util.exe 6a6ee465911902f3b590b8dd0a02e612 AhnLab V3 Adware/Win32.KorAd 8/44


다운로드된 launcher-util.exe 파일은 자가 복제 방식을 통해 [C:\WINDOWS\system32\launcher-one.exe] 파일을 생성합니다.

 

해당 파일은 Launcher Agent Service라는 이름으로 서비스에 등록되어 시스템 시작시마다 자동으로 실행된 후 스스로 서비스 중지 상태를 유지합니다.

특히, 해당 서비스는 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제를 하지 않을 경우 차후 추가적인 다운로드를 통해 악의적 기능을 수행할 수 있습니다.

또 다른 다운로드된 bullsboot.exe 파일은 [C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe] 파일을 생성하여 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.

참고로 infopun.exe(MD5 : 44729474a8b6207b6b70fcd722497913) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Adware/Win32.UBar (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.

시작 프로그램으로 등록된 infopun.exe 파일을 시스템 시작시 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더에 사용자 동의없이 6종의 악성코드 제거 프로그램, 개인정보 확인 프로그램, 검색 도우미, 바탕 화면 및 즐겨찾기 바로가기 아이콘 생성 프로그램 등의 설치 파일을 다운로드하여 설치가 이루어집니다.

파일명 MD5 보안 제품 진단명
ClearPCSetupS3.exe f40a214d765d821a4da5d5002fd5b278 Hauri ViRobot Spyware.Agent.4049137
install_p1.exe 7871f63f77e46c2192abc56bad67a5aa Microsoft TrojanDownloader:Win32/Fakr.A
sec_p2.exe a2263956e3b668109112638df89a2da9 AhnLab V3 Downloader/Win32.Adload
ISWebCP.exe 37aaa8ca3c0f972ec3253d8b2d7beb76 avast! Win32:PUP-gen [PUP]
nn341_ezsearch.exe c04dc2bff5af9765b8c266d656b53ffe AhnLab V3 Win-Trojan/Agent.1557578
fvhome2.exe 814cc696084de9144b1905b4aedee9bb Dr.Web Win32.HLLM.Julio.161

사용자는 이런 과정을 통하여 어떤 과정을 통해 다수의 원치 않는 프로그램이 설치되었는지 제대로 알 수가 없으며, 프로그램을 삭제하여도 차후에 또 다른 프로그램 또는 동일한 프로그램이 재설치되는 문제가 발생할 수 있습니다.

 

먼저 이런 문제를 최초로 제공한 광고 프로그램을 삭제하시기 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Live Float] 삭제 항목을 이용하여 삭제하실 수 있습니다.

하지만 광고 프로그램은 삭제가 되어도 livefloats.exe 파일을 통해 추가적으로 설치된 서비스 등록 파일과 추가적인 시작 프로그램 관련 파일이 삭제되지 않으므로 다음의 폴더, 파일, 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\uninstall.exe
  • C:\WINDOWS\system32\launcher-one.exe
  • C:\WINDOWS\system32\sircheckfile.dat
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - infopun = C:\Documents and Settings\(사용자 계정)\Application Data\infopun.exe
 - livefloatv3 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\livefloat\livefloats.exe

HKEY_CURRENT_USER\Software\alsef
HKEY_CURRENT_USER\Software\infopun
HKEY_CURRENT_USER\Software\livefloatpp
HKEY_CURRENT_USER\Software\winupp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\livefloat.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\livefloat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{269E78C8-ADC4-468D-8C66-DE2E07D8AB58}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\livefloat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Launcher Agent Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Launcher Agent Service

그 외에 infopun.exe 시작 프로그램을 통해 사용자 몰래 설치된 프로그램은 제어판에 등록된 [NClearPC 1.0], [protectinfo uninstall], [SideMatch], [WebCompass(웹컴파스)], [Win Search forsecretkey] 삭제 항목을 이용하여 삭제하시기 바랍니다.(※ 바탕 화면과 즐겨찾기에 등록된 G마켓, 옥션, 11번가 인터넷 쇼핑몰 바로가기 아이콘은 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제해야 합니다.)

해당 감염 사례는 최초 광고 프로그램은 사용자 동의를 얻어서 설치가 이루어지지만 설치 과정에서 사용자 몰래 추가적인 다운로드를 통해 다수의 프로그램을 설치하는 행위가 있으므로 주의하시기 바랍니다.

728x90
반응형