본문 바로가기

벌새::Analysis

검색 도우미 : Windows Explorer Plusmatch .NET Service Pack 1

특정 검색 키워드 값을 이용한 인터넷 검색시 자동으로 광고창을 생성하는 국내에서 제작된 "Windows Explorer Plusmatch .NET Service Pack 1" 검색 도우미 프로그램<SHA-1 : 88aee7ef3d200b0d27792a4c601721ae3e3c0d8b - avast! : Win32:Adware-gen [Adw] (VT : 7/54)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\plusmatching
C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\pl.ini
C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusmat.dll
C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusmat.exe :: 예약 작업(plusmat) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusvc.exe :: 서비스(plusmat) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\v.ini
C:\Windows\System32\Tasks\plusmat

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusvc.exe
 - SHA-1 : bea1cb42003c71dd50f9695995a18b8735ccb713
 - Avira : ADWARE/Adware.Gen (VT : 9/56)

PioneerSoft 디지털 서명이 포함된 "Windows Explorer Plusmatch .NET Service Pack 1" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\plusmatching" 폴더에 파일을 생성합니다.

"plusmat (표시 이름 : plusmat 서비스)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusvc.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusmat.exe" 파일(SHA-1 : 1a3f6e78e174ce9eea70e612608fb87040103319)을 로딩하여 메모리에 상주시킵니다.

또한 예약 작업 영역에 plusmat 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusmat.exe" 파일을 실행하여 메모리에 상주시킬 수 있습니다.

실행된 plusmat.exe 파일은 특정 서버의 정보를 체크하여 프로그램 버전, 광고 구성값, 실행값을 체크합니다.

"Windows Explorer Plusmatch .NET Service Pack 1" 광고 프로그램이 설치된 환경에서 메모리에 상주하는 plusmat.exe 파일이 "C:\Users\(사용자 계정)\AppData\Roaming\plusmatching\plusmat.dll" 광고 모듈(SHA-1 : bc8f58bb66ff1c89f2520eed0d5b9fe9bfa0f881)을 로딩하여 사용자가 특정 검색 키워드 값을 이용한 인터넷 검색을 시도할 경우 자동으로 광고창을 생성할 수 있습니다.

또한 프로그램 실행 후 8분이 경과하면 plusmat.exe 파일이 특정 서버의 링크 폴더(Linker_Folder) 정보를 체크하는 동작을 확인할 수 있습니다.

 

"Windows Explorer Plusmatch .NET Service Pack 1" 광고 프로그램 삭제 방법

광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 plusmat.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Explorer Plusmatch .NET Service Pack 1" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\plusmat.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Explorer Plusmatch .NET Service Pack 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CA21979-218B-40AE-9D24-2CA2A955C467}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\plusmat
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\plusmat

 

"Windows Explorer Plusmatch .NET Service Pack 1" 광고 프로그램의 이름 자체가 마치 Windows 관련 정상 프로그램처럼 등록되어 사용자 눈을 속이고 있으므로 혼동하지 않도록 주의하시기 바랍니다.