본문 바로가기

벌새::PUP Info

검색 도우미 : Micro MatchTab for Win32 - mctcvrqyqwm (2016.2.23)

반응형

 

인터넷 검색 및 웹 사이트 접속시 광고탭(창)을 생성할 수 있는 국내에서 제작된 "Micro MatchTab for Win32" 광고 프로그램의 변종 정보가 수집되어 살펴보도록 하겠습니다.

해당 광고 프로그램은 변종에 따라서는 "Micro MatchTab for Win32s" 이름으로 표시될 수 있으며, 설치 파일(SHA-1 : 73203cbe83a0afecc15c1cadf1f4532f9b614cb7 - 알약(ALYac) : Adware.Kraddare.295936) 및 생성 파일들은 가상 환경 및 특정 분석 도구가 존재할 경우 설치 및 실행되지 않도록 제작되어 있습니다.

 

또한 동일한 파일 구성이지만 자동 실행을 위한 서비스 및 예약 작업 등록값은 다양하게 추가될 수 있습니다.

 

파일 경로

 C:\ProgramData\WindowMatchTab\matchtab.exe

SHA-1

 0c8aec897279026a833d3e64a8eef236a4baee73

진단명

 AdKore.ES (AVG)

디지털 서명

 Donkey CORP.

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MATCHTAB = "C:\ProgramData\WindowMatchTab\matchtab.exe" /run

비고

 시작 프로그램(MATCHTAB) 등록 파일, 예약 작업(mctcvrqyqwmain) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\ProgramData\WindowMatchTab\matchtab_unin.exe

SHA-1

 530d911b7c461f1c07f4a19c602b23556a598a2b

진단명

 Win32:Adware-BRI [Adw] (avast!)

디지털 서명

 Donkey CORP.

비고

 프로그램 삭제 파일

 

파일 경로

 C:\ProgramData\WindowMatchTab\matchtabm.exe

SHA-1

 951516ad700d73c5419b1e89b76dc73aa0cc6eb1

진단명

 Gen:Variant.Adware.Graftor.175958 (BitDefender)

디지털 서명

 Donkey CORP.

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mctcvrqyqwm

비고

 서비스(mctcvrqyqwm) 등록 파일

 

파일 경로

 C:\ProgramData\WindowMatchTab\matchtabs.exe

SHA-1

 9313d6dfe1f2acead14c979056bfed440f74e456

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 Donkey CORP.

비고

 예약 작업(mctcvrqyqws) 등록 파일

"Donkey CORP." 디지털 서명이 포함된 "Micro MatchTab for Win32" 광고 프로그램은 "C:\ProgramData\WindowMatchTab" 폴더에 파일을 생성합니다.

  • 서비스(mctcvrqyqwm) : "C:\ProgramData\WindowMatchTab\matchtabm.exe" /srv
  • 시작 프로그램(MATCHTAB) : "C:\ProgramData\WindowMatchTab\matchtab.exe" /run
  • 예약 작업(mctcvrqyqwmain) : C:\ProgramData\WindowMatchTab\matchtab.exe /sch
  • 예약 작업(mctcvrqyqws) : C:\ProgramData\WindowMatchTab\matchtabs.exe /sch

해당 광고 프로그램은 시스템 시작 시 서비스, 시작 프로그램, 예약 작업 영역에 등록된 다양한 자동 실행값을 통해 파일을 자동 실행하여 프로그램 업데이트 및 광고 구성값 등을 체크한 후 광고 기능을 수행하는 matchtab.exe 파일을 메모리에 상주시킵니다.

 

"Micro MatchTab for Win32" 광고 프로그램이 설치된 환경에서 웹 브라우저를 이용한 인터넷 검색 및 웹 사이트 접속 시 다양한 광고탭(창)을 자동으로 생성하여 불편을 유발할 수 있습니다.

 

"Micro MatchTab for Win32" 광고 프로그램 삭제 방법

 

기본적으로 해당 광고 프로그램은 제어판에 등록된 "Micro MatchTab for Win32" 또는 "Micro MatchTab for Win32s" 삭제 항목을 실행하여 프로그램 제거를 진행할 수 있지만, 일부 환경에서는 제어판에 표시되지 않는 방식으로 프로그램 제거를 방해할 수 있습니다.

 

그러므로 제어판에 표시되지 않는 경우에는 "C:\ProgramData\WindowMatchTab\matchtab_unin.exe" 파일을 찾아 직접 실행하여 프로그램 제거를 진행하시거나, 다음의 절차을 참고하여 수동으로 프로그램 제거를 진행하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mctcvrqyqwm"] 명령어를 입력 및 실행하여 등록된 서비스 등록값을 자동 삭제하시기 바랍니다.(mctcvrqyqwm 명령어는 변종에 따라 이름이 일부 변경될 수 있으므로 서비스 등록값을 반드시 확인하시기 바랍니다.)

 

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 matchtab.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 실행 중인 웹 브라우저를 모두 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\ProgramData\WindowMatchTab
  • C:\Windows\System32\Tasks\mctcvrqyqwmain
  • C:\Windows\System32\Tasks\mctcvrqyqws
  • C:\Windows\Tasks\mctcvrqyqwmain.job
  • C:\Windows\Tasks\mctcvrqyqws.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MATCHTAB = "C:\ProgramData\WindowMatchTab\matchtab.exe" /run

"Micro MatchTab for Win32" 또는 "Micro MatchTab for Win32s" 광고 프로그램은 웹 브라우저 이용 시 원치않는 광고탭(창) 생성으로 불편을 유발할 수 있으며, 특히 제어판에 표시되지 않을 수 있는 문제로 사용자가 설치 여부를 확인하기 어려우므로 주의하시기 바랍니다.

728x90
반응형