울지않는벌새 : Security, Movie & Society

검색 도우미 : Enumerate-nm

벌새::Analysis

인터넷 검색 중 웹 브라우저 상단에 "ENUMERATE" 광고 툴바가 생성되는 검색 도우미 "Enumerate-nm" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : a5ddd0dea1b6a612197abc76892d48bb)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Enumerate Top Search - gt (2012.7.27)

 

  검색 도우미 : Addendum-nm (2012.8.21)

 

참고로 해당 프로그램과 유사성이 강한 "Enumerate Top Search - gt", "Addendum-nm" 검색 도우미 프로그램이 존재하므로 참고하시기 바랍니다. 

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\enumerate_nm
C:\Program Files\enumerate_nm\nmeniem.dll :: BHO 등록 파일
C:\Program Files\enumerate_nm\nmenmgr.exe :: 메모리 상주 프로세스
C:\Program Files\enumerate_nm\nmenup.exe :: 시작 프로그램 등록 파일
C:\Program Files\enumerate_nm\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\enumerate_nm\nmeniem.dll
 - MD5 : 20832f8444d93ccb2af06f70a2033b90
 - AhnLab V3 : Win-PUP/Helper.Enumerate.270336 (VirusTotal : 19/43)

 

C:\Program Files\enumerate_nm\nmenmgr.exe
 - MD5 : 0ead1fc2951e4dd5208235c86ef29a19
 - AhnLab V3 : Win-PUP/Helper.Enumerate.294912 (VirusTotal : 20/43)

 

C:\Program Files\enumerate_nm\nmenup.exe
 - MD5 : 2185bace4b1a467a669a26f64998bc5b
 - Hauri ViRobot : Trojan.Win32.A.Downloader.28672.AOU (VirusTotal : 25/41)

 

해당 프로그램은 "C:\Program Files\enumerate_nm" 폴더에 파일을 생성하며, Windows 시작시 nmenup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크를 하도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 인터넷 검색을 통해 검색 결과를 클릭할 경우, 웹 브라우저 상단에 검색 키워드 값을 참조한 "ENUMERATE" 광고 툴바가 생성되는 것을 확인할 수 있습니다.

 

생성된 광고 툴바의 광고 문구를 클릭할 경우 오버추어(Overture) 광고 코드를 추가하여 상업적 웹 사이트가 오픈되는 것을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : EnumIEMon.Mon2

게시자 : NemoNamuMedia

유형 : 브라우저 도우미 개체

CLSID : {2EEC9AFF-CA5E-4317-8A80-ED6B4FA7EBD3}

파일 : C:\Program Files\enumerate_nm\nmeniem.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 nmeniem.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고 툴바를 생성하도록 제작되어 있습니다.

 

그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "EnumIEMon.Mon2" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 프로그램은 시스템 시작 후 nmenmgr.exe 파일을 메모리에 상주하여, 특정 서버에 버전 정보 등을 체크하는 동작을 합니다.

 

그러므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 nmenmgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Enumerate-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EEC9AFF-CA5E-4317-8A80-ED6B4FA7EBD3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EnumIEMon.Mon2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A73857CF-6B3F-4719-8536-037D29BB4C80}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{68CAC18C-F4CC-4DC6-8093-1356A6A26EE8}
HKEY_LOCAL_MACHINE\SOFTWARE\Dbenum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2EEC9AFF-CA5E-4317-8A80-ED6B4FA7EBD3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - nmenum = C:\Program Files\enumerate_nm\nmenup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
nmenum
HKEY_LOCAL_MACHINE\SOFTWARE\nmenum

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 툴바 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.