본문 바로가기

벌새::Analysis

검색 도우미 : Addendum - addentool

국내에서 제작되어 인터넷 검색시 Internet Explorer 웹 브라우저의 좌측에 사이드바 형태의 광고창을 생성하는 검색 도우미 Addendum - addentool 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 예전부터 다양한 이름의 Addendum 시리즈 프로그램이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 및 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\addentool_ts_query_list.txt
C:\Program Files\addentool
C:\Program Files\addentool\addentool.dll :: BHO 등록 파일
C:\Program Files\addentool\addentoolagent.exe :: 시작 프로그램 등록 파일
C:\Program Files\addentool\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

C:\Program Files\addentool\addentool.dll
 - MD5 : 9ce8ddaf3ec3cb5bf4dceb71a4822bb4
 - AhnLab V3 : Win-PUP/Helper.Addendum.199896 (VirusTotal : 5/43)

※ Win-PUP 진단명은 유해 가능 프로그램에 대한 진단으로 악의적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일(프로그램)을 의미합니다.

 

해당 프로그램은 [C:\Program Files\addentool] 폴더에 파일을 생성하며, Windows 시작시 addentoolagent.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

참고로 시작 프로그램으로 등록된 addentoolagent.exe 파일은 AddendumAgent, addentoolagent 2개의 등록값으로 등록되어 있으며, 실행된 파일은 업데이트 서버에 접속한 후 스스로 종료하도록 구성되어 있습니다.

 

 

프로그램이 설치된 환경에서 인터넷 검색을 통한 사이트를 오픈하였을 경우, 웹 브라우저 좌측 사이드바 형태로 addentool, ADDENDUM 문구가 포함된 스폰서 링크 광고창이 생성되는 것을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : addentool Class
게시자 : Syncwin IMS Corp.
CLSID : {BC68E426-72B1-4C4C-9910-D802FF47616D}
파일 : C:\Program Files\addentool\addentool.dll

이름 : addentoolside Class
게시자 : Syncwin IMS Corp.
CLSID : {25AC3AD7-6C7F-49F9-B38D-25FE4A53F595}
파일 : C:\Program Files\addentool\addentool.dll

 

해당 광고 동작을 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 addentool Class, addentoolside Class 2개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

 

프로세스 정보를 확인해보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 addentool.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

 

 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [addentool] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\addentool_ts_query_list.txt] 파일을 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AddendumAgent = C:\Program Files\addentool\addentoolagent.exe
 - addentoolagent = C:\Program Files\addentool\addentoolagent.exe

HKEY_CURRENT_USER\Software\addentool
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25AC3AD7-6C7F-49F9-B38D-25FE4A53F595}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC68E426-72B1-4C4C-9910-D802FF47616D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{238B005F-78DB-4612-9889-2DB5C02B8796}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C154DB10-75A9-4FB1-99D9-12BBDA81D01B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ADFBA64F-6B79-45B9-A8BE-484878CD79E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addentoolside
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addentoolside.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BC68E426-72B1-4C4C-9910-D802FF47616D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\addentool

 

해당 프로그램은 다른 소프트웨어를 설치하는 과정에서 사용자가 제대로 인지하지 못하는 과정을 통해 설치될 가능성이 있으므로 프로그램 설치시 또는 이용시에 주의깊게 확인하는 습관이 필요하겠습니다.

 

특히 예전 사례의 경우 Addendum 시리즈 프로그램 중에서는 사용자 몰래 추가적인 광고 프로그램을 설치하는 사례도 확인이 되었으므로 주의가 요구됩니다.