본문 바로가기

벌새::Analysis

검색 도우미 : Addendum-nm

인터넷 검색시 웹 브라우저 좌측 영역에 사이드바 광고를 생성하는 검색 도우미 "Addendum-nm" 프로그램에 대해 살펴보도록 하겠습니다.

 

  <Right Security Blog> 검색 도우미 : Addendum - NM (2010.6.30)

 

  검색 도우미 : Addendum - NM (2010.11.26)

 

해당 프로그램은 기존의 "Addendum - NM" 검색 도우미 프로그램의 변형된 버전으로 추정되므로 참고하시기 바랍니다.

 

  <2010년 관련 정보> 검색 도우미 : addendum (ts) - 1.1.0.2 (2010.11.27) 외 5종

 

  검색 도우미 : Addendum - addentool (2011.10.3)

 

  검색 도우미 : Addendum - SB (2011.10.30)

 

  검색 도우미 : Addendum - addenbar (2011.11.22)

 

  국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)

 

또한 그 외에도 Addendum 검색 도우미 시리즈는 다양한 이름으로 배포되고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Addendum
C:\Program Files\Addendum\adnfm.exe :: 시작 프로그램 등록 파일
C:\Program Files\Addendum\adnib.dll
C:\Program Files\Addendum\adnim.dll :: BHO 등록 파일
C:\Program Files\Addendum\adnsvc.exe :: 메모리 상주 프로세스
C:\Program Files\Addendum\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\Addendum\adnib.dll
 - MD5 : 81220a67bda4cb3e4523bef540732e97
 - AhnLab V3 : PUP/Win32.Addendum (VirusTotal : 8/42)

 

해당 프로그램은 "C:\Program Files\Addendum" 폴더에 파일을 생성하며, Windows 시작시 adnfm.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 adnsvc.exe 파일을 실행하도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통한 웹 사이트를 오픈하는 과정에서 웹 브라우저 좌측에 검색 키워드 값을 참조한 스폰서 검색 결과를 "Addendum-nm" 사이드바 광고로 표시하도록 제작되어 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IESMon.Mon

게시자 : NemoNamuMedia

유형 : 브라우저 도우미 개체

CLSID : {9118A38D-B75D-4D9B-9A28-2154EE06AFF3}

파일 : C:\Program Files\Addendum\adnim.dll

 

이름 : Addendum-nm

게시자 : NemoNamuMedia

유형 : 탐색창

CLSID : {8787EF7A-42BF-40A6-9C85-35C5F2B7BF1B}

파일 : C:\Program Files\Addendum\adnib.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 adnim.dll, adnib.dll 2개의 모듈을 브라우저 도우미 개체(BHO) 및 탐색창으로 추가하여 키워드 감시를 통한 사이드바 광고를 생성하도록 제작되어 있습니다.

 

그러므로 해당 광고 행위를 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "IESMon.Mon", "Addendum-nm" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 adnsvc.exe 프로세스가 메모리에 상주하므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Addendum-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\chknm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8787EF7A-42BF-40A6-9C85-35C5F2B7BF1B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9118A38D-B75D-4D9B-9A28-2154EE06AFF3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESB.Band
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESMon.Mon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{919C70BB-8C44-47B3-96DC-ABBCB229623C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B742C645-1E73-4A0A-BA53-2CF3CCAC8AD8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5349481F-168B-4FA3-B815-36AD0F764ED2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9C91F108-14F9-498E-8650-86100BC50E13}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9118A38D-B75D-4D9B-9A28-2154EE06AFF3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - nmadn = C:\Program Files\Addendum\adnfm.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nmadn
HKEY_LOCAL_MACHINE\SOFTWARE\nmadn

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용 과정에서 원치 않는 사이드바 광고로 인하여 속도 저하 등이 발생할 수 있으므로 주의하시기 바랍니다.

  • ㅇㅇ 2012.09.15 13:34 댓글주소 수정/삭제 댓글쓰기

    아 이거 어떻게 설치되는 거? 회사에서 선배들이 광고프로그램 지워달라고 하면 이거 꼭 깔려 있던데 당사자에게 뭐 설치한거 있냐고 물어보면 모름.. ㄷㄷ 이거 어떻게 설치되는지 알고 싶음...

    • 워낙 다양한 경로로 설치가 됩니다. 실제 악성 파일을 통해 몰래 설치되거나 사용자 눈에 잘 안보이게 숨어서 동의를 얻는 방식으로도 설치됩니다.