| 국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 광고주의 사이트가 새창으로 노출되는 스폰서매치 프로그램에 대하여 살펴보겠습니다. 스폰서 프로그램으로 설치가 되어 사용자가 설치 여부를 인지하지 못하는 경우가 많습니다. |
| 생성파일 정보 |
| C:\Program Files\sponsormatch\sponsormatch.exe - 시작프로그램 등록 / 메모리 상주 C:\Program Files\sponsormatch\sponsormatch_uninstall.exe - 프로그램 삭제 |
| 레지스트리 정보 |
| [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] sponsormatch="C:\Program Files\sponsormatch\sponsormatch.exe" |
| 시작프로그램으로 등록이 되어 자동 실행되도록 하고 있으며 sponsorma tch.exe 파일이 메모리에 상주하여 사용자가 포털사이트 등에서 특정키워드를 입력 시 광고주의 사이트를 노출시킵니다. |
| URL 정보 |
| hxxp://api.sponsorkeyword.co.kr/api_search.php?k_encoding= %EC%BB%B4%ED%93%A8%ED%84%B0&s_engine=search.naver.com&pid=p001 hxxp://api.sponsorkeyword.co.kr/forwarding.php?keycode=141473&sub_idx=&aff_code=p001&ip=x.x.x.x&service_type= 4&linkurl=http%3A%2F%2Fpcshop.dan***.com%2FStandardPC%2Fmain%2FserviceId%2Fsponsorkeyword%26_C_%3D37%26logger_kw%3Dsponsorkeyword226 hxxp://api.sponsorkeyword.co.kr/api_urlclose.php?pid=p001&ip=x.x.x.x&mac_addr=맥주소&domain=www.dan***.com&k_encoding=&fullurl=http://www.dan ***.comcar/?sponsorLink=GNBSponsor%26_C_=37%26logger_kw=sponsorkeyword177 |
| 광고주의 사이트를 노출시킴으로 광고대행업체에게 사용자 IP와 MAC 주소를 전송하는 것을 확인 할 수 있습니다. |
| 특정 키워드 검색 시 광고주 홈페이지를 노출시키고 있으며 "자동차" 검색어를 입력 시 자동차 키워드에 해당되는 페이지를 노출시키는 것을 확인 할 수 있습니다. 사용자가 인터넷 사용 시 광고주 홈페이지 노출로 인하여 정상적인 인터넷 사용에 불편을 주고 있습니다. |
| 제거 방법 |
| [제어판] -> [프로그램 추가/제거] 에서 sponsormatch 를 삭제하시면 됩니다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19) (4) | 2011.11.23 |
|---|---|
| [악성코드분석] 검색도우미 :: truepod (0) | 2011.11.21 |
| [악성코드분석] 스마트보안 :: SmartBoan (0) | 2011.10.28 |
| 유해사이트 차단 프로그램 :: 안전지대 (SafeTerra) (0) | 2011.10.26 |
| [악성코드분석] 검색도우미 :: Addendum-NM (3) | 2011.10.25 |