울지않는벌새 : Security, Movie & Society

검색 도우미 : addendum (ts) - 2.0.0.1

벌새::Analysis

웹 브라우저 좌측 영역에 "ADDENDUM" 사이드바 검색 광고창을 생성하며, 추가적인 프로그램을 설치하는 검색 도우미 "addendum (ts) - 2.0.0.1" 프로그램(MD5 : 9f22a8936e539418018973456640eeff)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : addendum (ts) - 1.1.0.2 (2010.11.27)

 

"addendum (ts)" 프로그램은 2010년경부터 버전 업데이트를 통해 지속적으로 유사한 기능을 가진 프로그램을 배포하고 있었던 것으로 보이므로 참고하시기 바랍니다.

 

프로그램의 설치가 진행되면 "C:\Program Files\addendum\sidebar" 폴더에 관련 파일들을 생성하며, 특정 서버로부터 Addendum 프로그램의 설치 파일(setup.exe)을 추가적으로 다운로드합니다.

다운로드된 설치 파일(setup.exe)은 "C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\nsm3.tmp\setup_adnd1.exe" 파일로 생성되어 "C:\Program Files\addendum" 폴더에 파일(addendov_uninstall.exe, addendov.dll)을 생성합니다.

 

참고로 다운로드된 설치 파일(MD5 : a1f488ad6a81e136e7ef91e49a0f9e01)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.Addendum.907352 (VT : 12/46) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Window Viewer (2012.11.8)

 

  [삭제] Window Guide (2013.3.15)

 

  검색 도우미 : Windows iestart (2013.3.29)

 

해당 설치 방식은 최근 확인되고 있는 검색 도우미와 유사성이 강하므로 참고하시기 바랍니다.(※ WinSoft, Overtls, Addendum 시리즈 등은 유사 계열로 추정됩니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nsm3.tmp\setup_adnd1.exe
C:\Program Files\addendum
C:\Program Files\addendum\addendov_uninstall.exe
C:\Program Files\addendum\addendov.dll :: BHO(add_en_dov) 등록 파일
C:\Program Files\addendum\sidebar
C:\Program Files\addendum\sidebar\addendum_ts.dll :: BHO(Addendum Class) 등록 파일
C:\Program Files\addendum\sidebar\AddendumAgent.exe :: 시작 프로그램 등록 파일
C:\Program Files\addendum\sidebar\uninstall.exe :: "addendum (ts)" 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\nsm3.tmp\setup_adnd1.exe
 - MD5 : a1f488ad6a81e136e7ef91e49a0f9e01
 - AhnLab V3 : Win-PUP/Helper.Addendum.907352 (VT : 12/46)

 

C:\Program Files\addendum\addendov.dll
 - MD5 : b2887025c85cff55f9e95befe0dd80f0
 - AhnLab V3 : PUP/Win32.Addenbar (VT : 18/46)

 

C:\Program Files\addendum\sidebar\addendum_ts.dll
 - MD5 : 2d49acad711e81b5542bd6157e46c9ee
 - AhnLab V3 : Win-PUP/Helper.Addendum.204864 (VT : 18/46)

 

C:\Program Files\addendum\sidebar\AddendumAgent.exe
 - MD5 : dfd4636d6022c934bb0035d6bcbd1c26
 - AhnLab V3 : Win-PUP/Helper.Addendum.126016 (VT : 9/46)

설치된 프로그램은 Windows 시작시 "C:\Program Files\addendum\sidebar\AddendumAgent.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 AddendumAgent.exe 파일은 특정 서버에 프로그램 버전, 설치 날짜, 파트너 아이디(ID), 사용자 Mac Address 값을 기반으로 체크를 수행한 후 자동 종료가 이루어집니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Addendum Class

게시자 : Stimpack Inc.

유형 : 브라우저 도우미 개체

CLSID : {6956446B-312B-4F69-B23B-FEF01097EB12}

파일 : C:\Program Files\addendum\sidebar\addendum_ts.dll

 

이름 : add_en_dov

게시자 : Stimpack Inc.

유형 : 브라우저 도우미 개체

CLSID : {CC01FC6C-28EC-4889-82C2-AA4CEB1C8930}

파일 : c:\Program Files\addendum\addendov.dll

 

이름 : CAddendumSide Class

게시자 : Stimpack Inc.

유형 : 탐색창

CLSID : {8E383D5A-B713-4038-BD0D-E53AFD75391D}

파일 : C:\Program Files\addendum\sidebar\addendum_ts.dll

 

설치된 프로그램은 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 파일을 통해 광고 기능을 수행하므로, 광고 동작 중지 및 프로그램 삭제시에는 "Addendum Class", "add_en_dov", "CAddendumSide Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

  [삭제] Addendum - addentool (2013.2.7)

 

참고로 파일에서 사용된 "Stimpack Inc." 디지털 서명은 기존에 소개한 "Addendum - addentool" 프로그램에서도 확인되었으므로 참고하시기 바랍니다.

 

1. C:\Program Files\addendum\sidebar\addendum_ts.dll

"Addendum Class" 브라우저 도우미 개체(BHO)로 등록된 addendum_ts.dll 파일은 웹 브라우저 실행시 특정 서버와 통신하여 국내 포털 검색 도메인 쿼리 정보를 체크하는 동작을 확인할 수 있습니다.

또한 addendum_ts.dll 파일은 "Addendum Class", "CAddendumSide Class" 등록을 통해 인터넷 검색을 통해 웹 사이트에 접속할 경우, 웹 브라우저 좌측 영역에 "ADDENDUM" 사이드바 검색 광고창을 생성하도록 되어 있습니다.

 

2. C:\Program Files\addendum\addendov.dll

"add_en_dov" 브라우저 도우미 개체(BHO)로 등록된 addendov.dll 파일은 웹 브라우저 실행시 특정 서버에서 정보를 체크하는 동작을 확인할 수 있습니다.

이를 통해 인터넷을 이용하는 과정에서 사용자 눈에 보이지 않는 사이드바 클릭 행위를 진행할 수 있을 것으로 추정됩니다.

예를 들어 사용자가 네이버(Naver) 검색을 시도할 경우, 해당 검색 키워드 값을 참조하여 광고 서버(addendov.com)에서 특정 URL 값을 포함한 정보를 받아와 "다음(Daum) 클릭스"에서 운영하는 "프리미엄 링크" 광고를 로딩하는 부분을 확인할 수 있습니다.

이 부분을 시각적으로 살펴보면 광고 서버(addendov.com)에서 추가된 다음(Daum) "프리미엄 링크" 광고는 Referer에서 제시하는 "ADDENDUM" 사이드바 검색 광고를 참조하고 있으며, 해당 사이드바 광고 노출은 백그라운드 방식으로 진행되어 화면 상으로는 표시되지 않고 있습니다.

 

이런 동작이 이루어지는 환경에서 사용자가 특정 조건(사이트 방문, 물건 구매, 회원 가입, 클릭 등)을 만족시킬 경우 수익이 발생할 것으로 추정됩니다.

 

3. 프로그램 삭제

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "addendum (ts)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\addendum
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AddendumAgent = C:\Program Files\addendum\sidebar\AddendumAgent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addendov.add_en_dov
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addendum_ts.addendum_ts.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addendum_ts.addendum_ts.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6956446B-312B-4F69-B23B-FEF01097EB12}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E383D5A-B713-4038-BD0D-E53AFD75391D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-28EC-4889-82C2-AA4CEB1C8930}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{24B5C7C9-F8BC-448C-A172-72A0CFA161DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B52A9408-36C8-4361-87F9-7794CD800BC4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searhcliteside
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42856895-0303-438D-889E-D7701C12A4B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searhcliteside.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6956446B-312B-4F69-B23B-FEF01097EB12}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-28EC-4889-82C2-AA4CEB1C8930}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
addendum (ts)

 

Addendum 검색 도우미 프로그램은 오랫동안 다양한 이름과 파일 구성으로 배포가 지속되고 있으며, 프로그램 설치로 인해 원치 않는 광고 생성 등의 문제가 발생할 수 있으므로 주의하시기 바랍니다.