애드웨어 정보2015.08.14 01:02

1. 애드웨어명 : Micro MatchTab for Win32



2. 설치 경로 : Utilchango 애드웨어 조직이 개발한 프로그램에서 추가 다운로드



3. 행위 정보


3-1. 해당 애드웨어는 폴더 및 레지스트리 탐색 방식을 통해 분석 방해와 Anti-VM 기능이 포함되어져 있다.


C:\Program Files\WinPcap


C:\Program Files\Wireshark


C:\Program Files\VMware


C:\Program Files\PE Explorer


HKEY_CURRENT_USER\Software\Sysinternals


HKEY_CURRENT_USER\Software\VMware, Inc.


HKEY_CURRENT_USER\Software\Oracle\VirtualBox


HKEY_CURRENT_USER\Software\ES-Computing


HKEY_CURRENT_USER\Software\VanDyke


HKEY_CURRENT_USER\Software\EffeTech


HKEY_CURRENT_USER\Software\PremiumSoft



3-2. 해당 애드웨어는 조건에 만족하여 설치시 아래의 경로에 파일 및 레지스트리를 생성하며 시작프로그램 항목명은 MatchTab이며, 서비스명은 Windows Match Service(mctcvxswsm)이다. mct 키워드를 기반으로 다수의 변종이 나올 것으로 확인이 된다.


C:\ProgramData\WindowMatchTab\matchtabs.exe

C:\ProgramData\WindowMatchTab\matchtab.exe

C:\ProgramData\WindowMatchTab\matchtabm.exe

C:\ProgramData\WindowMatchTab\matchtab_unin.exe

C:\ProgramData\WindowMatchTab\mctcvxswsm.exe

C:\ProgramData\WindowMatchTab\temp\

C:\ProgramData\WindowMatchTab\

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\matchtab.lnk



HKEY_CURRENT_USER\SOFTWARE\Microsoft\mct

HKEY_CURRENT_USER\Software\matchtab
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\matchtab
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\mctcvxswsm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mctcvxswsm

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"MATCHTAB"="C:\ProgramData\WindowMatchTab\matchtab.exe\" /run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"MATCHTAB"="C:\ProgramData\WindowMatchTab\matchtab.exe\" /run




3-3. 개발자 PDB 정보는 아래와 같다.


D:\myprj\matchtab\bin\matchtab_unin.pdb

D:\myprj\matchtab\bin\matchtab_inst.pdb

D:\myprj\matchtab\bin\matchtab.pdb
D:\myprj\matchtab\bin\matchtabs.pdb


3-4. 암호화된 값으로 C&C와 연결을 하며, 추가 애드웨어 행위를 수행할 것으로 보인다.


4. Micro MatchTab for Win32 삭제 정보 : 안전모드 상에서 아래의 경로에 존재하는 파일 및 레지스트리를 모두 삭제하며 레지스트리 삭제의 경우 시작 - 실행 - regedit를 통해 실행되는 레지스트리 편집기를 이용해 삭제한다.


C:\ProgramData\WindowMatchTab\

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\matchtab.lnk



HKEY_CURRENT_USER\SOFTWARE\Microsoft\mct

HKEY_CURRENT_USER\Software\matchtab
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\matchtab
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\mctcvxswsm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mctcvxswsm

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"MATCHTAB"="C:\ProgramData\WindowMatchTab\matchtab.exe\" /run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"MATCHTAB"="C:\ProgramData\WindowMatchTab\matchtab.exe\" /run

Posted by Ec0nomist

댓글을 달아 주세요