본문 바로가기

벌새::Analysis

PC 최적화 프로그램 : 라이브클리너(LiveCleaner)

국내 (주)에이코리아 업체에서 제공하는 유료 PC 최적화 프로그램 라이브클리너(LiveCleaner) 제품에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.PowerBoan (VT : 23/45) 진단명으로 진단되고 있습니다.

 

[테스트 환경]

 

◆ 운영 체제(OS) : Windows 7 SP1

◆ 설치 파일(MD5) : 29616da01e31096bc9ebe9b83c6e9f82

 

※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다.

※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다.

 

1. 프로그램 설치 및 삭제 정보

 

1-1. 생성 폴더 / 파일 정보

 

C:\Program Files\livecleaner
C:\Program Files\livecleaner\bootflash.swf
C:\Program Files\livecleaner\livecleaner.exe :: LiveCleaner 프로그램 실행 파일
C:\Program Files\livecleaner\livecleanerse.exe :: 서비스(livecleanerService) 등록 파일
C:\Program Files\livecleaner\livecleanerU.exe
C:\Program Files\livecleaner\uninst_livecleaner.exe :: LiveCleaner 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\livecleaner
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\livecleaner\Homepage.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\livecleaner\livecleaner 삭제.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\livecleaner\livecleaner.lnk
C:\Windows\windatareset.dat
C:\Windows\windatareset.exe :: 서비스(livecleaner Update Service) 등록 파일, windatareset 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\livecleaner\livecleanerU.exe
 - MD5 : b22495e1010ef588a5e0a60c4f427c28
 - AhnLab V3 : PUP/Win32.OneScan (VT : 10/45)

 

C:\Program Files\livecleaner\uninst_livecleaner.exe
 - MD5 : 8b4095f2b235d3b506ad8b1038b9b0f8
 - AhnLab V3 : Trojan/Win32.Onescan (VT : 9/45)

 

C:\Windows\windatareset.exe
 - MD5 : 28c78c4cb26814fa9aedca537411b2c1
 - AhnLab V3 : PUP/Win32.UserChange (VT : 22/45)

라이브클리너(LiveCleaner) 프로그램과 함께 설치되는 windatareset 프로그램은 "livecleaner Update Service(livecleaner Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\windatareset.exe" /update] 파일을 자동 실행하도록 구성되어 있습니다.

라이브클리너(LiveCleaner) 프로그램은 "livecleanerService(livecleaner Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\livecleaner\livecleanerse.exe" 파일을 자동 실행하며, 자동 실행된 파일(livecleanerse.exe)은 "C:\Program Files\livecleaner\livecleanerU.exe" 파일 로딩을 통한 프로그램 버전 체크 후 프로그램(livecleaner.exe)을 실행합니다.

실행된 프로그램은 5분이 경과하면 "LiveCleaner 알림" 창을 생성하여 검사를 유도합니다.

이를 통해 유료 기능인 PC 속도 향상 검사를 통해 진단된 항목에 대하여 "확인" 버튼을 클릭할 경우 결제창을 생성합니다.

 

1-2. 생성 레지스트리 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - livecleaner_pop = 1
HKEY_LOCAL_MACHINE\SOFTWARE\livecleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - lvcn = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
livecleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windatareset
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\livecleaner Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\livecleanerService

 

1-3. 프로세스 정보

프로그램이 실행되면 livecleaner.exe 프로세스가 생성되므로, 프로그램 삭제시에는 프로그램 종료 또는 Windows 작업 관리자를 실행하여 livecleaner.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

1-4. 관련 URL 정보

  • h**p://www.li**clean**.co.kr/APP/pf_ck.php?v1=pop
  • h**p://li**clean**.co.kr/etc/yak_app.htm
  • h**p://li**clean**.co.kr/dbk.php
  • h**p://li**clean**.co.kr/mbk.php?v1=pop&v2=(사용자 Mac Address)
  • h**p://li**clean**.co.kr/value.php?strMode=setup&strID=pop&strPC=(사용자 Mac Address)|&strSite=li**clean**.co.kr
  • h**p://upstat.li**clean**.co.kr//APP/ck_setup.php?m=(사용자 Mac Address)&d=li**clean**.co.kr&a=pop
  • h**p://upstat.li**clean**.co.kr//P/windatareset.exe
  • h**p://upstat.li**clean**.co.kr//APP/download.php?m=(사용자 Mac Address)&d=li**clean**.co.kr&a=pop
  • h**p://upstat.li**clean**.co.kr//APP/setup.php?m=(사용자 Mac Address)&d=li**clean**.co.kr&a=pop
  • h**p://update.li**clean**.co.kr/ver
  • h**p://update.li**clean**.co.kr/bin/livecleanerU.exe
  • h**p://update.li**clean**.co.kr/bin/livecleaner.exe
  • h**p://update.li**clean**.co.kr/bin/uninst_livecleaner.exe
  • h**p://update.li**clean**.co.kr/bin/livecleanerse.exe
  • h**p://update.li**clean**.co.kr/bin/bootflash.swf
  • h**p://update.ucf**.co.kr/version/except/excp_com
  • h**p://li**clean**.co.kr/settle.php?strID=pop&strPC=(사용자 Mac Address)&strSite=
  • h**p://li**clean**.co.kr/value.php?strMode=run&strID=pop&strPC=(사용자 Mac Address)

1-5. 프로그램 삭제 정보

프로그램 삭제는 제어판에 등록된 "livecleaner", "windatareset" 2개의 삭제 항목을 이용하여 삭제할 수 있습니다.

GET /APP/delete.php?m=(사용자 Mac Address) HTTP/1.1
User-Agent: windatareset
Host: R.sjappm.com
Cache-Control: no-cache

참고로 windatareset 프로그램 삭제시에는 사용자 Mac Address 값을 기반으로 삭제 카운터(Counter) 정보를 특정 서버에 전송합니다.

 

프로그램에서 제공하는 제어판 삭제 방식 또는 사용자에 의한 수동 삭제를 통해 프로그램을 삭제한 후, 시스템 재부팅시 재설치가 자동으로 이루어지는 현상이 발생하는 경우에는 해당 프로그램을 사용자 몰래 설치하는 추가적인 프로그램이 존재하므로 다음과 같은 방식으로 점검하시기 바랍니다.

(1) 시작 프로그램 등록 파일 점검
(2) 서비스 등록 항목 점검
(3) 기타 국내 광고 프로그램 설치 여부 점검
(4) 국내외 유명 보안 제품을 이용한 정밀 검사

 

2. 제품 유료 결제 해지 방법

 

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.

 

(1) 전화 : 1600-8363

(2) 자동 연장 결제 해지 신청 게시판

 

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 1372 소비자상담센터(국번없이 1372)에 민원 접수를 통해 상담하시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 한국인터넷진흥원 118센터(국번없이 118번)를 통해 무료 원격 점검을 받으실 수 있습니다.

 

  • 장태진 2013.09.22 14:13 댓글주소 수정/삭제 댓글쓰기

    돈벌기위한 프로그램?
    악성코드 탐지했다고 팝업뜨고 검색하면 악성코드 삭제,최적화 등 컴퓨터에 심각한 문제가있는 것처럼 나온 후, 잘 모르는 사람들 결제를 유도하는 전형적인 악성프로그램. v3나 알약, 기타 악성코드 탐지프로그램에서 잡아내지 못 하는 것들을 잡아내는 대단한 프로그램이어서 꼭 결제를 해야되나 봅니다. 거참 열받아 죽겠네.

  • 아.........시발 뭐하러이걸올림 이거때문에 삭제도안되고 결제하라고 뜨는데 나중에버튼 누르면 계속생성돼요 몇도걸리지도않고
    나중에 누르면 곧장떠서 뭐 윈도우패스트 각종 결제사기 바이러스가 다깔리게해서 개인정보 침해하고
    해킹이나 그런짓해서 나쁜짓만 골라서하는주제에
    이딴거 다운로드하라고 당당하게 서계시네 이망할프로그램때메
    해킹당함 어쩔거임? 지금 옥션이고뭐고 다깔림 전에님이올린 윈도우페스트 다운받아서그러는데 지금까지뜨고
    포멧해도 안사라짐 물어내세요 시발

    • 이 글 내용을 보고서 다운로드해서 실행하는 사람이 더 이상해 보이는군요. 한글 좀 읽으면서 자신이 무엇을 하는지 좀 생각하시기 바랍니다. 여기와서 이상한 소리하지 마시고..

  • 하 참나...지금 컴퓨터 고장나서 못하고있는데..
    라이브클리너가 바이러스인줄알았는데 알고보니 35,000원 결제하니 바이러스 전부다 사라지네요 dd

    • 답답하시네요. 이런 프로그램에서 진단된 파일은 PC에 아무런 영향을 주지도 않습니다.

      게다가 그런건 윈도우에서 삭제할 수 있는 기능을 제공해 주는데 왜 결제를 하고 그러는지 모르겠군요. 쯧~

    • Favicon of http://blog.naver.com BlogIcon 잉잉 2013.10.04 20:45 댓글주소 수정/삭제

      살려줘요 바이러스 고치는거없나살펴보는데 바이러스땜시 전화도오고
      네이트로 바이러스 보낸분이 저한테,욕하네요 신고방법아시나요..
      글고 그분이 저블로그에 악플달았음 ㅠㅠ

    • 그런 개인적인 문제는 제가 어떻게 도움을 드릴 수 없을 것 같습니다.

      대신 상대방이 악의적인 말을 지속적으로 할 경우에는 모두 캡처를 찍어두었다가 사이버 수사대나 경찰서를 방문해서 명예훼손으로 신고하시기 바랍니다.

  • ?!결제하고나서 바이러스 다 삭제된건 뭐지?!

  • 쨋든 벌새님 덕에 바이러스 고쳣으니 추천하고 갈겡욤

  • 벌새님 지금 그분이 끝까지 사과안하고 버티시네요
    욕하고머라머라 떠들고
    지금 위치추적해서 그분 집다서 경찰이랑 한바탕하는데 그분집에잇는 온갓무기들로
    버티시네요,.

    • Favicon of http://blog.naver.com BlogIcon 잉잉 2013.10.08 17:34 댓글주소 수정/삭제

      지금 그분이 프라이팬까지들고 버티고계시고
      나때문이라고 프라이팬들고 저랑 한바탕하려하나보내요 이분 집앞에 경찰차 12대나 왔는데