울지않는벌새 : Security, Movie & Society

검색 도우미 : Addendum-nm - addendum_sb

벌새::Analysis

인터넷 검색 키워드 값을 참조하여 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 "Addendum-nm - addendum_sb" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : c69a0d82a8f3d878467e2ef0bd8549be)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.135540.B (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Addendum-nm (2012.8.21)

 

또한 해당 프로그램은 Addendum 검색 도우미 프로그램 시리즈 중 Addendum-nm 프로그램의 변형된 버전으로 확인되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\addendum_sb
C:\Program Files\addendum_sb\sbrnmib.dll
C:\Program Files\addendum_sb\sbrnmim.dll :: BHO 등록 파일
C:\Program Files\addendum_sb\sbrnmmgr.exe :: 메모리 상주 프로세스
C:\Program Files\addendum_sb\sbrnmup.exe :: 시작 프로그램 등록 파일
C:\Program Files\addendum_sb\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\addendum_sb\sbrnmib.dll
 - MD5 : a44834d1501346b21c319f1060a75629
 - AhnLab V3 : PUP/Win32.Addendum (VirusTotal : 11/44)

 

C:\Program Files\addendum_sb\sbrnmim.dll
 - MD5 : de75a9f52c99bcd17f5b975e4f68a949
 - AhnLab V3 : PUP/Win32.Addendum (VirusTotal : 25/44)

 

C:\Program Files\addendum_sb\sbrnmmgr.exe
 - MD5 : 575ed89df89b5b781d2d0cb1e6d98d92
 - AhnLab V3 : PUP/Win32.Addendum (VirusTotal : 25/44)

 

C:\Program Files\addendum_sb\sbrnmup.exe
 - MD5 : 03c735b8ef6f5b313094e6c201c77c50
  - AhnLab V3 : PUP/Win32.Addendum (VirusTotal : 28/44)

 

C:\Program Files\addendum_sb\uninst.exe
 - MD5 : 413914ab450b6cff7144a0cd5f50c4c9
 - AhnLab V3 : PUP/Win32.Enumerate (VirusTotal : 3/44)

 

해당 프로그램은 "C:\Program Files\addendum_sb" 폴더에 파일을 생성하며, Windows 시작시 sbrnmup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 인터넷 검색을 통한 웹 사이트를 오픈할 경우, 웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하는 동작을 확인할 수 있습니다. 

해당 광고를 통해 제시된 스폰서 광고를 클릭할 경우 오버추어(Overture) 광고 코드가 추가된 상태로 연결되는 것을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IESMon.Mon3

게시자 : NemoNamuMedia

유형 : 브라우저 도우미 개체

CLSID : {451679EF-B256-4CF7-9543-5FE66E0BEA26}

파일 : C:\Program Files\addendum_sb\sbrnmim.dll

 

이름 : Addendum-nm

게시자 : NemoNamuMedia

유형 : 탐색창

CLSID : {3909DC1B-0E90-42AE-B619-C599134BDF7F}

파일 : C:\Program Files\addendum_sb\sbrnmib.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 sbrnmim.dll, sbrnmib.dll 2개의 파일을 브라우저 도우미 개체(BHO) 및 탐색창으로 추가하여, 사용자가 입력하는 검색 키워드 값을 참조하여 사이드바 광고를 생성하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "IESMon.Mon3", "Addendum-nm" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

또한 Windows 작업 관리자를 실행하여 메모리에 상주하는 sbrnmmgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Addendum-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\chknm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3909DC1B-0E90-42AE-B619-C599134BDF7F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{451679EF-B256-4CF7-9543-5FE66E0BEA26}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESB.Band3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESMon.Mon3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{27F00DDB-BE9E-438B-8B1A-86302919E052}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EEDE2C44-0636-4A57-AD14-41AAE20A5B3C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0AB1B059-015A-43EA-8098-045FC77C17B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6ED7E21D-3A0E-4D2F-ACA0-51C9FEB56101}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{451679EF-B256-4CF7-9543-5FE66E0BEA26}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sbrnm = C:\Program Files\addendum_sb\sbrnmup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sbrnm
HKEY_LOCAL_MACHINE\SOFTWARE\sbrnm


해당 프로그램은 인터넷 이용시 원치 않는 사이드바 광고창 생성으로 불편을 유발할 수 있으며, Addendum 검색 도우미 프로그램과 관련된 다양한 이름과 폴더에 프로그램을 설치하고 있으므로 주의하시기 바랍니다.