본문 바로가기

벌새::Analysis

검색 도우미 : LuckyTool

반응형

Internet Explorer 웹 브라우저를 이용하여 인터넷 검색 및 웹 사이트 접속 등의 동작시 다양한 광고창 생성을 통해 불편을 유발하는 검색 도우미 LuckyTool 프로그램(SHA-1 : 2af867c165bfc90f156e23c22d9ad09e56742e2f)에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 2013년 초부터 본격적으로 활동이 시작된 SubShop, DreamPrime 계열의 악성 광고 프로그램 변종으로 일반 사용자 PC 환경에서는 프로그램 삭제를 방해할 목적으로 제어판의 설치 프로그램 목록에 표시하지 특징이 있습니다.

 

또한 숨김(H) 속성값을 가진 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내에 다양한 폴더(파일)명으로 설치되어 사용자가 수동으로 프로그램 삭제를 하는데 어려움이 예상됩니다.

 

그러므로 이 글에서는 LuckyTool 광고 프로그램의 전반적인 특징만을 살펴보겠으며, 만약 제어판을 통한 광고 프로그램 삭제 이후에도 지속적인 광고창 생성으로 불편이 발생하는 사용자는 "[공지] 광고 프로그램 삭제 관련 문의 방법" 안내글을 참고하여 개별적으로 문의해 주시기 바랍니다.(※ 실제 문의하시는 분들 중 20~40%는 해당 악성 광고 프로그램이 숨어있는 경우가 있었습니다.)

LuckyTool 광고 프로그램의 설치 과정에서는 핵심 관련 파일을 특정 서버에서 다운로드하는 방식으로 설치가 이루어지고 있습니다.

그러므로 악의적으로 사용자에 의한 프로그램 삭제를 방해하도록 제작된 LuckyTool 광고 프로그램의 설치를 사전 차단하기 위해서는 안티 바이러스(Anti-Virus) 보안 제품에서 제공하는 웹 보안 기능에 "down.luckytool.net" URL 주소를 차단값으로 추가하시기 바랍니다.

또한 LuckyTool 광고 프로그램 설치시 특정 서버에서 암호화된 응용 프로그램 관련 정보를 받아와서 사용자 Mac Address 값 기반으로 체크를 통해 가상 환경, 분석 도구 등이 설치된 경우 정상적으로 동작하지 않도록 하는 것으로 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\ClickpopLib.dll
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\dba.dat
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\dbb.dat
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoola.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoolb.exe
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoolc.exe :: 서비스(luckytoolv) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\msvcp110.dll
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\msvcr110.dll
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\subpop.dll
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\uninst.dat
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\vccorlib110.dll
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\wingad.dll
C:\Users\(사용자 계정)\AppData\Roaming\luckytool\Yestoplib.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool\ClickpopLib.dll
 - SHA-1 : 77b7231bbceeed384b4eb6efdb288a60657b22d7
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.R110514 (VT : 14/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoola.exe
 - SHA-1 : c390e952e4ac6b264427eb9c58fdc6e978a2114d
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.C577147 (VT : 2/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoolb.exe
 - SHA-1 : c6a9ac3745958b37f5117b99004c54062bd150c9
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.R103279 (VT : 4/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool\subpop.dll
 - SHA-1 : 77258dfc4bf66fc29aaf182415e245d3da0b6fd4
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.R107876 (VT : 2/54)

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool\wingad.dll
 - SHA-1 : e5eebea104b6e12051aa29f16e3c111ee991acec
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.R110515 (VT : 2/54)

 

C:\Users\(사용자 계정)\AppData\Roaming\luckytool\Yestoplib.dll
 - SHA-1 : d006adf3fa6b4543b36bae79398c80642415fbef
 - AhnLab V3 365 Clinic : PUP/Win32.SubShop.C577150 (VT : 1/55)

yssoft 디지털 서명이 포함된 LuckyTool 광고 프로그램은 숨김(H) 속성값을 가진 폴더(C:\Users\(사용자 계정)\AppData\Roaming) 내에 다양한 폴더명으로 설치가 이루어지며(※ 예시 : C:\Users\(사용자 계정)\AppData\Roaming\roryok), 내부에 생성된 파일 아이콘도 변종에 따라 다양하게 생성될 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\luckytoolv

"luckytoolv (표시 이름 : luckytoolv)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoolc.exe" 파일(SHA-1 : b83836ae02e91d2b499451c9cc3bb8d67a13f8e7)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(luckytoolc.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoola.exe" 파일을 실행하여 특정 서버에서 암호화된 광고 구성값 정보를 받아와서 "C:\Users\(사용자 계정)\AppData\Roaming\luckytool\dba.dat" 파일을 수정한 후 메모리에 상주합니다.

또한 서비스 파일(luckytoolc.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\luckytool\luckytoolb.exe" 파일을 추가 실행하여 특정 서버에 실행 정보 및 추가적인 정보를 체크하여 "C:\Users\(사용자 계정)\AppData\Roaming\luckytool\dbb.dat" 파일을 수정한 후 자동 종료 처리됩니다.

 

LuckyTool 광고 프로그램이 설치된 환경에서는 기본적으로 메모리에 luckytoola.exe 프로세스가 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 다양한 광고 모듈<ClickpopLib.dll(디지털 서명 : jncmarketing inc.), subpop.dll(디지털 서명 : yssoft), wingad.dll(디지털 서명 : yssoft)>이 로딩되어 광고창 생성을 유발할 수 있습니다.

테스트 환경에서는 제어판 목록에 "LuckyTool" 삭제 항목을 통해 프로그램 삭제를 지원하고 있지만, 실제 사용자 PC에 설치된 LuckyTool 광고 프로그램은 제어판에 표시되지 않도록 설치되므로 설치 여부를 인지하기 매우 어렵습니다.

 

그러므로 LuckyTool 광고 프로그램을 사용자가 직접 삭제하기 위해서는 다음과 같은 절차를 응용하여 제거하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 luckytoola.exe 프로세스를 찾아 종료하시기 바랍니다.(※ 변종에 따라서는 추가적인 광고 모듈 다운로드 및 실행을 통해 종료가 필요한 프로세스가 더 존재할 수도 있습니다.)

 

(b) 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내에서 다양한 이름으로 설치된 LuckyTool 광고 프로그램이 설치된 비정상적인 이름으로 등록된 폴더를 찾아 들어가시기 바랍니다.(※ 예시 : C:\Users\(사용자 계정)\AppData\Roaming\roryok)

 

(c) 해당 폴더 내에 존재하는 LuckyTool 광고 프로그램의 삭제 파일(uninstall.exe)을 찾아 직접 실행하시기 바랍니다.

uninstall.exe 파일을 직접 실행하면 LuckyTool 제거창이 생성되어 프로그램 삭제를 정상적으로 진행할 수 있습니다.

 

LuckyTool 광고 프로그램은 2014년 9월 중순경 최초 유포가 확인되고 있으며 지속적으로 제어판에는 표시되지 않은 상태로 사용자가 찾기 어려운 다양한 폴더명으로 설치가 이루어지고 있습니다.

 

그러므로 광고 프로그램 설치시 사용자 PC의 조건을 체크하는 경우에는 설치 및 동작을 방해할 수 있는 방법도 존재하므로 안내하는 프로그램을 설치하여 일부 악성 광고 프로그램에 대해 적극적으로 방어하시기 바랍니다.

 

 
728x90
반응형