울지않는벌새 : Security, Movie & Society

검색 도우미 : SideMatch2.0

벌새::Analysis

인터넷 검색시 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 SideMatch2.0 프로그램에 대해 살펴보도록 하겠습니다.


  검색 도우미 : Windows Sidematch System (2012.3.13)


해당 프로그램의 사이드바 광고 형태를 기존의 사이드매치(SideMatch) 계열 프로그램과 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]


C:\Program Files\SideMatch2.0
C:\Program Files\SideMatch2.0\ls.plc
C:\Program Files\SideMatch2.0\sidematch.exe :: 시작 프로그램 등록 파일
C:\Program Files\SideMatch2.0\sm.dll
C:\Program Files\SideMatch2.0\sm.exe
C:\Program Files\SideMatch2.0\smb.dll :: BHO 등록 파일
C:\Program Files\SideMatch2.0\uninstall.exe :: 프로그램 삭제 파일


해당 프로그램은 Windows 시작시 sidematch.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 다음과 같은 체크 기능을 가지고 있습니다.

자동 실행된 sidematch.exe 파일은 특정 광고 서버에 사용자 Mac Address 체크 및 2가지 패턴(프로그램 및 추가적인 업데이트)의 업데이트 정보를 확인하고 있는 것을 확인할 수 있습니다.

해당 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 때마다 iexplore.exe 프로세스 하위에 sm.exe 프로세스를 일시적으로 생성하여 검색 키워드 정보를 기반으로 광고 서버와 연결을 시도하는 동작을 확인할 수 있습니다.


  국내 악성코드 : Windows Onestep System (2011.11.12)


  검색 도우미 : Windows Onestep System - onestep (2011.11.22)


  국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)


  국내 악성코드 : Windows smartlink System (2012.2.14)


  검색 도우미 : Internet SubJet Client (2012.2.18)


위와 같은 프로그램 동작 방식은 기존에 다양한 검색 도우미 프로그램을 통해 소개한 적이 있으므로 참고하시기 바랍니다.

인터넷 검색을 통해 웹 사이트를 오픈한 경우 웹 브라우저 좌측에 "sidematch" 스폰서 링크 사이드바 광고가 생성되는 동작을 확인할 수 있습니다.

사이드바 광고에 제시된 링크를 클릭할 경우 링크프라이스 광고 서버(sidematch.app.linkprice.com)를 통해 오버추어(Overture) 광고 코드를 경유하여 웹 사이트가 열리는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]


이름 : sidematch
게시자 : (주)링크프라이스
유형 : 브라우저 도우미 개체
CLSID : {5819A8E1-EA64-496C-8418-A2C354A56A9D}
파일 : C:\Program Files\SideMatch2.0\smb.dll


이름 : sidematch

게시자 : (주)링크프라이스
유형 : 탐색창
CLSID : {4DFD039D-2D66-4AC7-AE11-6277FEBD9111}
파일 : C:\Program Files\SideMatch2.0\sm.dll


해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 smb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 사이드바 광고를 생성하는 동작을 하도록 구성되어 있습니다.


그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 2개의 "sidematch" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "SideMatch2.0" 삭제 항목을 이용하여 삭제할 수 있습니다.


[생성 레지스트리 등록 정보]


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sidematch = C:\Program Files\SideMatch2.0\sidematch.exe
HKEY_CURRENT_USER\Software\nosidematch
HKEY_CURRENT_USER\Software\sidematch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4DFD039D-2D66-4AC7-AE11-6277FEBD9111}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5819A8E1-EA64-496C-8418-A2C354A56A9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sm.sidematch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\smb.sidematch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sidematch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5819A8E1-EA64-496C-8418-A2C354A56A9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
sidematch


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 사이드바 광고로 인하여 불편을 유발할 수 있으므로 주의하시기 바랍니다.