본문 바로가기

벌새::Analysis

설치 및 실행 시 PC 환경에 민감한 "RelatedMatch for Windows" 광고 프로그램 주의 (2016.12.11)

반응형

인터넷 검색 및 웹 사이트 접속 시 광고창 생성과 같은 행위를 통해 금전적 수익을 유발할 수 있는 국내에서 제작된 "RelatedMatch for Windows" 광고 프로그램(SHA-1 : 607528db0bf349e0f359d123eb90f61131dc8431 - BitDefender : Adware.GenericKD.3671942)에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 2016년 11월 초부터 유포된 것으로 추정되며, 기존의 Donkey CORP., INSAFE, JDK 디지털 서명이 포함된 광고 프로그램을 운영하던 조직이 제작한 것으로 확인되고 있습니다.

 

 

특히 해당 유포 조직은 광고 프로그램 설치 PC 환경을 체크하여 SystemBiosVersion, Autoruns, DebugView, EffeTech, Fiddler Web Debugger, HTTP Debugger, Notepad, OllyDbg, Oracle VM VirtualBox, PE Explorer, PremiumSoft, Process Explorer, Process Monitor, RegEdit, RootkitRevealer, Sysinternals, VanDyke, VMware, WinPcap, Wireshark, wpcap.dll 등의 Class, 프로그램(파일), 레지스트리 값이 확인될 경우 설치 및 실행이 이루어지지 않도록 분석을 방해하고 있는 것이 특징입니다.

 

"RelatedMatch for Windows" 광고 프로그램 설치 방식은 배포 파일이 실행될 경우 외부 서버로부터 각각의 생성 파일을 추가적으로 다운로드하여 파일을 각각 생성하며, 서비스와 작업 스케줄러에 등록되는 파일 및 등록값은 변종에 따라 다양하게 생성될 수 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\ProgramData\inforelatedmatch
C:\ProgramData\inforelatedmatch\temp
C:\ProgramData\inforelatedmatch\relatedmatch_unin.exe :: 프로그램 삭제 파일
C:\ProgramData\inforelatedmatch\relatedmatcha.exe :: 작업 스케줄러(rmttmronrnqmain) 등록 파일, 메모리 상주 프로세스
C:\ProgramData\inforelatedmatch\relatedmatchs.exe :: 작업 스케줄러(rmttmronrnqs) 등록 파일
C:\Windows\rmttmronrnqm.exe :: 서비스(Windows Related InfoMatch) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\Tasks\rmttmronrnqmain
C:\Windows\System32\Tasks\rmttmronrnqs
C:\Windows\Tasks\rmttmronrnqmain.job
C:\Windows\Tasks\rmttmronrnqs.job

 

생성 파일 진단 정보

 

C:\ProgramData\inforelatedmatch\relatedmatch_unin.exe
 - SHA-1 : 0886fb361f2127df4e670726c943bf10139b0696
 - avast! : Win32:Adware-BRI [Adw]

 

C:\ProgramData\inforelatedmatch\relatedmatcha.exe
 - SHA-1 : c430095fc52677d1612f76d1943451bdfa869582
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.wnj

 

C:\ProgramData\inforelatedmatch\relatedmatchs.exe
 - SHA-1 : 67af82822a4b4677f62928e4278e4338f155a497
 - Hauri ViRobot : Trojan.Win32.Z.Kraddare.350720[h]

 

C:\Windows\rmttmronrnqm.exe
 - SHA-1 : 60b507de394e7e928cdd5f5b4072c7e6f36298ce
 - ESET : a variant of Win32/AdWare.Kraddare.IL

 

 

"RelatedMatch for Windows" 광고 프로그램은 "C:\ProgramData\inforelatedmatch" 폴더와 Windows 폴더 내에 서비스 파일(rmttmronrnqm.exe)을 생성합니다.

 

참고로 서비스 등록 파일은 서버에서 다운로드된 relatedmatchm.exe 파일이 Windows 폴더 내에 임의의 파일명(rmttmronrnqm.exe)으로 생성될 수 있습니다.

 

  • 작업 스케줄러(rmttmronrnqmain) : C:\ProgramData\InfoRelatedMatch\relatedmatcha.exe /smain
  • 작업 스케줄러(rmttmronrnqs) : C:\ProgramData\InfoRelatedMatch\relatedmatchs.exe /sch

 

시스템 시작 시 예약 작업 영역에 추가된 rmttmronrnqmain, rmttmronrnqs 2개의 작업 스케줄러 등록값을 통해 광고 기능을 수행하는 relatedmatcha.exe 파일과 프로그램 업데이트 기능을 수행하는 relatedmatchs.exe 파일을 자동 실행합니다.

 

 

또한 "rmttmronrnqm (표시 이름 : Windows Related InfoMatch)" 서비스 항목을 등록하여 시스템 시작 시 ["C:\WINDOWS\rmttmronrnqm.exe" /srv] 파일을 자동 실행하도록 구성되어 있습니다.

 

실행된 파일은 암호화된 정보 체크를 통해 광고 구성값, 프로그램 업데이트, 실행 정보를 확인한 후 추가적인 광고 모듈 다운로드 및 광고창 생성과 같은 다양한 행위를 수행할 수 있습니다.

 

"RelatedMatch for Windows" 광고 프로그램 제거 방법

 

일부 해당 광고 프로그램이 설치된 환경에서는 제어판의 프로그램 제거 및 기능에 등록된 "RelatedMatch for Windows" 삭제 항목을 통해 정상적으로 프로그램 제거가 가능합니다.

 

 

하지만 "RelatedMatch for Windows" 광고 프로그램이 설치된 경우 제어판을 통한 프로그램 제거를 방해할 목적으로 프로그램 이름을 추가하지 않도록 제작된 부분이 발견되고 있으므로 다음과 같은 절차에 따라 프로그램 제거를 진행하시기 바랍니다.

 

숨김(H) 폴더 속성을 볼 수 있도록 폴더 옵션값(숨김 파일, 폴더 및 드라이브 표시)을 수정하신 후 "C:\ProgramData\inforelatedmatch\relatedmatch_unin.exe" 파일을 찾아 직접 실행하시면 프로그램 제거를 진행할 수 있습니다.

 

 

프로그램 제거를 위해서는 제시된 영문과 숫자를 그대로 입력한 후 확인 버튼을 클릭하시기 바라며, 프로그램 제거 후에는 "C:\ProgramData\inforelatedmatch" 폴더를 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\SOFTWARE\inforelatedmatch
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rmt
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\inforelatedmatch
HKEY_CURRENT_USER\SOFTWARE\uninstall_inforelatedmatch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B20F36D0-430F-434D-A011-73C192D38DA8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FAE0287F-025B-4CD5-BD43-B9E357929EC4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\rmttmronrnqmain
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\rmttmronrnqs
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\inforelatedmatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rmttmronrnqm

 

 

"RelatedMatch for Windows" 광고 프로그램은 기존의 "ViewExp for Windows" 광고 프로그램의 업데이트 버전으로 소개되어 있으며, 그 외에도 지금까지 이지클린, BuzzCon for Win32, GearExtention for Windows (x86,x64), GeniusMouse for Win32, IE Support for Windows (remove only), Intelligent, Internet Service Manager, Micro MatchTab for Win32, Micro MatchTab for Win32s, Mouse Control Client, Mouse Control Service, mousesolution for Win32, MyIP, Network ADView, Reflection Information Client x86, SyncWebs for Win32, TargetService, viewcon, Windows Baro Visit, Windows Frame Related, Windows GearExtion, Windows IP View (XP,Win7,Win8), Windows mouse protection release, Windows MouseUtil, Windows RCProvider, Windows Reflection Service, Windows Remind Message, Windows WinDirector, WinProvider 등과 같은 다양한 이름의 유사한 기능을 가진 광고 프로그램을 장기간 유포하고 있었으므로 설치되어 고생하지 않도록 주의하시기 바랍니다.

728x90
반응형