본문 바로가기

벌새::Analysis

검색 도우미 : Enumerate-nm - tpsnm

반응형

웹 브라우저 상단에 "Enumerate" 광고바를 생성하는 검색 도우미 "Enumerate-nm - tpsnm" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 3e19043374776e20afd534bee17ba222)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 6/46) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Enumerate-nm (2012.10.1)

 

또한 기존에 배포되었던 동일한 이름의 "Enumerate-nm" 검색 도우미의 변형된 버전이므로 참고하시기 바랍니다.

프로그램 설치 단계에서는 사용자 IP 정보를 기반으로 한 위치 정보를 체크하는 부분을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\enumerate_nm
C:\Program Files\enumerate_nm\tpsnmiem.dll :: BHO 등록 파일
C:\Program Files\enumerate_nm\tpsnmmgr.exe :: 메모리 상주 프로세스
C:\Program Files\enumerate_nm\tpsnmup.exe :: 시작 프로그램 등록 파일
C:\Program Files\enumerate_nm\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\enumerate_nm\tpsnmup.exe
 - MD5 : d1cd8fe1ce0adb8f9661168b537a69c8
 - Hauri ViRobot : Trojan.Win32.A.Downloader.28672.AQL (VT : 35/46)

해당 프로그램은 "C:\Program Files\enumerate_nm" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\enumerate_nm\tpsnmup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행을 통한 업데이트 체크 및 tpsnmmgr.exe 파일 로딩을 하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속할 경우, 검색 키워드 값을 참조하여 웹 브라우저 상단에 "Enumerate" 광고바를 생성하는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : EnumIEMon.Mon3

게시자 : NemoNamuMedia

유형 : 브라우저 도우미 개체

CLSID : {DF9042E7-BE36-4FDC-9213-30C1765DC115}

파일 : C:\Program Files\enumerate_nm\tpsnmiem.dll

 

해당 광고 동작은 웹 브라우저 실행시 tpsnmiem.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바 생성이 이루어지므로, 광고 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "EnumIEMon.Mon3" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 tpsnmmgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Enumerate-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DF9042E7-BE36-4FDC-9213-30C1765DC115}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EnumIEMon.Mon3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B2F16334-437C-4380-9CFA-7573AAE2268C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2FD67FD1-3A04-43BB-9C26-F2E359CB0AEE}
HKEY_LOCAL_MACHINE\SOFTWARE\Dbenum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{DF9042E7-BE36-4FDC-9213-30C1765DC115}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - tpsnm = C:\Program Files\enumerate_nm\tpsnmup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\tpsnm
HKEY_LOCAL_MACHINE\SOFTWARE\tpsnm

 

Enumerate-nm 검색 도우미 프로그램은 Addendum, Enumerate 검색 도우미 시리즈와 연관성이 깊으며, 다양한 이름과 파일 변경을 통해 지속적으로 발견이 되고 있으므로 주의하시기 바랍니다.

 

728x90
반응형