본문 바로가기

벌새::Analysis

검색 도우미 : Addendum - SB

728x90
반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 좌측 사이드바 형태의 광고를 생성하는 검색 도우미 Addendum - SB 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Addendum 시리즈 광고 프로그램으로 유명하며 다양한 변형된 프로그램이 존재하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Program Files\addensb
C:\Program Files\addensb\addensb.exe :: 메모리 상주 프로세스
C:\Program Files\addensb\addsbu.exe :: 시작 프로그램 등록 파일
C:\Program Files\addensb\iesb_sb.dll
C:\Program Files\addensb\iesm_sb.dll :: BHO 등록 파일
C:\Program Files\addensb\uninstall.exe :: 프로그램 삭제 파일
[생성 파일 진단 정보]

C:\Program Files\addensb\addensb.exe
 - MD5 : c852f74d3272c7572c708e323792f92e
 - nProtect : Trojan-Clicker/W32.Addendum.294912 (VirusTotal : 14/43)

C:\Program Files\addensb\addsbu.exe
 - MD5 : 2d54ecd4085cfa74ef07d5c2f2d0f964
 - nProtect : Trojan-Downloader/W32.Agent.28672.ZN (VirusTotal : 22/43)


해당 프로그램은 [C:\Program Files\addensb] 폴더에 파일을 생성하며, Windows 시작시 addsbu.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색 과정에서 그림과 같이 웹 브라우저 좌측 사이드바 형태의 광고가 노출되는 동작을 확인할 수 있습니다.

하지만 추가적으로 해당 프로그램은 ① 인터넷 검색을 시도할 경우 ② 검색 키워드를 참조하여 백그라운드 방식으로 특정 서버로부터 관련 광고를 가져오는 동작 이외에 ③ 주기적으로 임의의 키워드와 관련된 광고를 받아오는 동작을 하는 것을 확인할 수 있습니다.

실제 사용자가 인터넷 검색을 하지 않는 과정에서도 백그라운드 방식으로 임의의 키워드와 관련된 광고를 받아오는 부분을 확인해보면 사이드바 형태의 광고에 노출될 광고 정보와 일치한 것을 확인할 수 있습니다.

이로 인하여 메모리에 상주하는 addensb.exe 프로세스로 인해 불필요한 외부 광고 서버로부터 주기적인 광고 정보를 받아옴으로 인해 트래픽 유발 등의 문제가 있을 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : Addendum-sb
CLSID : {B424426C-5D24-420D-8CA3-DFA273B4C076}
파일 : C:\Program Files\addensb\iesb_sb.dll

이름 : IEMon3.Mon
CLSID : {054C58BF-91E3-4FDA-BE95-3E78CEC7A8C9}
파일 : C:\Program Files\addensb\iesm_sb.dll


우선적으로 해당 프로그램의 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 Addendum-sb, IEMon3.Mon 2개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 addensb.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 iesm_sb.dll 파일이 BHO 방식으로 추가되어 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자에서 addensb.exe 프로세스를 수동으로 종료한 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Addendum - SB] 삭제 항목을 이용하여 삭제하시기 바랍니다.


[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{054C58BF-91E3-4FDA-BE95-3E78CEC7A8C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424426C-5D24-420D-8CA3-DFA273B4C076}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEBand3.Band
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEMon3.Mon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{24C3EFDF-DF28-46BF-B2DD-B95E33473C05}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{27BA99A4-793E-4DCF-A529-5ED1B0DC4B91}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{36DB5ABF-0642-4993-BD82-CD410617427A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D47F5A34-739D-422A-9FFE-4F668D41FB20}
HKEY_LOCAL_MACHINE\SOFTWARE\Dbadden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{054C58BF-91E3-4FDA-BE95-3E78CEC7A8C9}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - addensb = C:\Program Files\addensb\addsbu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
addensb

HKEY_LOCAL_MACHINE\SOFTWARE\addensb


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 웹 브라우저를 통한 인터넷 이용과 상관없이 주기적으로 트래픽을 유발한다는 점에서 원치 않는 분들은 삭제를 하시기 바랍니다.

728x90
반응형