울지않는벌새 : Security, Movie & Society

검색 도우미 : MatchKey

벌새::Analysis

시스템 시작시 네이트판(pann.nate.com) 특정 콘텐츠를 백그라운드 방식으로 로딩하며, 웹 브라우저 종료시 광고창을 생성하는 검색 도우미 MatchKey 프로그램(MD5 : c5375038916da3068aaf6a7b3159e94e)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\matchkey
C:\Program Files\matchkey\matchkey.exe :: 메모리 상주 프로세스
C:\Program Files\matchkey\mkeydel.exe :: 프로그램 삭제 파일
C:\Program Files\matchkey\mkeyup.exe :: 시작 프로그램 등록 파일

해당 프로그램은 Windows 시작시 "C:\Program Files\matchkey\mkeyup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 mkeyup.exe 파일은 프로그램 버전 체크 및 "C:\Program Files\matchkey\matchkey.exe" 파일을 로딩하며, 실행된 matchkey.exe 파일은 자동으로 네이트판(pann.nate.com)에 게시된 특정 게시글을 백그라운드 방식으로 로딩하는 동작을 확인할 수 있습니다.(※ 해당 게시글은 사용자 화면에는 표시되지 않습니다.)

또한 웹 브라우저 실행을 통해 인터넷 검색을 이용하는 과정 또는 웹 브라우저 종료시 후팝업 방식으로 광고창을 노출시키는 동작을 확인할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 matchkey.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에 등록된 "matchkey" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 / 변경 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\matchkey
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
 - (기본값) = :: 변경 전
 - (기본값) = C:\Program Files\matchkey\matchkey.exe :: 변경 후
 - Path = C:\Program Files\matchkey :: 추가
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - matchkey = C:\Program Files\matchkey\mkeyup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
matchkey

 

해당 프로그램은 시스템 시작시 사용자 몰래 특정 콘텐츠의 클릭수 상승(?)을 목적으로 연결을 시도하며, 특정 조건에서 추가적인 광고창이 생성될 수 있으므로 주의하시기 바랍니다.