본문 바로가기

벌새::Analysis

[삭제] Addendum - addentool

인터넷 검색시 웹 브라우저의 좌측 영역에 "ADDENDUM" 사이드바 광고를 생성하는 것으로 보이는 검색 도우미 "Addendum - addentool" 프로그램(MD5 : 207e58fb16c5be78ad97a2275bfdd557)에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일은 2012년 12월 31일에 최초 발견되었으며, 현재까지 안랩 클라우드(AhnLab Cloud) 기준으로 1,526 대에서 다운로드가 이루어진 것으로 보입니다.

 

  검색 도우미 : Addendum - addentool (2011.10.3)

 

특히 2011년 10월경에 소개한 "Addendum - addentool" 검색 도우미 프로그램의 변종으로, 이번의 경우에는 제어판을 통한 삭제 기능이 제거된 상태로 배포되어 사용자가 설치 여부를 확인하기 어렵습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\addentool
C:\Program Files\addentool\addentov.dll :: BHO 등록 파일
C:\Program Files\addentool\addentov_uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\addentool\addentov.dll
 - MD5 : 22f5954b2d04fdec246fcff12e38cae9
 - AhnLab V3 : PUP/Win32.Addenbar (VirusTotal : 18/46)

 

해당 프로그램은 "C:\Program Files\addentool" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 addentov.dll 파일을 통해 동작하도록 제작되어 있습니다.

GET /adnt1/ovn_o.asp?dll=1&isdate=20130207 HTTP/1.0
Host: addentov.com
Keep-Alive: 300
Connection: keep-alive
User-Agent: Mozilla/4.0 (compatible; Synapse)

설치 후 최초 웹 브라우저를 실행하면 특정 서버에 프로그램 실행 관련 체크를 하는 부분을 확인할 수 있습니다.

 

테스트에서는 실제로 사이드바 광고 노출 조건을 발견하지 못하였지만, 관련 정황 증거를 토대로 대략적인 방식을 살펴보도록 하겠습니다.

프로그램이 설치된 환경에서 인터넷 검색을 시도할 경우 검색 키워드 값을 기반으로 특정 서버와 통신하는 부분을 확인할 수 있습니다.

 

해당 URL 값을 살펴보면 리퍼러(Referrer) 값에 사용자가 입력한 검색 키워드 값을 기반으로 한 부분을 확인할 수 있으며, 이를 통해 광고 서버에서 암호화된 연결이 이루어집니다.

이 부분을 추출해보면 그림과 같이 "ADDENDUM" 사이드바 광고 영역을 확인할 수 있으며, 사용자가 입력한 검색 키워드 값을 통해 표시된 검색 결과로 접속할 경우 다음 비즈(Daum Biz) 관련 URL 값을 통해 11번가 인터넷 쇼핑몰로 연결됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : adden_tov

게시자 : Stimpack Inc.

유형 : 브라우저 도우미 개체

CLSID : {CC01FC6C-4B31-4893-8E56-8A442DA3EE3D}

파일 : c:\Program Files\addentool\addentov.dll

 

해당 광고 동작은 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 addentov.dll 파일을 통해 이루어지므로, 광고 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "adden_tov" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

해당 프로그램은 프로그램 삭제를 방해할 목적으로 제어판을 통한 삭제 기능을 제공하지 않고 있으므로 "C:\Program Files\addentool\addentov_uninstall.exe" 파일을 찾아 직접 실행을 하시기 바랍니다.

 

또한 프로그램 삭제 이후에는 "C:\Program Files\addentool" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-4B31-4893-8E56-8A442DA3EE3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addentov.adden_tov
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-4B31-4893-8E56-8A442DA3EE3D}

 

"Addendum - addentool" 프로그램이 설치된 환경에서는 인터넷 검색시 웹 브라우저가 깜빡이는 증상이 발생할 수 있으며, 원치 않는 사이드바 광고 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.