웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하는 검색 도우미 "Addendum-nm - addendum_sb (nmnew)" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 957e193c0eb6ecc7365826bac6f50525)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 14/46) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : Addendum-nm - addendum_sb (2012.10.30)
또한 기존의 "Addendum-nm - addendum_sb" 검색 도우미 프로그램의 업데이트된 버전이므로 참고하시기 바랍니다.
프로그램 설치 과정에서는 사용자 IP를 기반으로 위치 정보를 체크하여 설치가 진행되는 것을 확인할 수 있습니다.
C:\Program Files\addendum_sb
C:\Program Files\addendum_sb\nmnewib.dll
C:\Program Files\addendum_sb\nmnewim.dll :: BHO 등록 파일
C:\Program Files\addendum_sb\nmnewmgr.exe :: 메모리 상주 프로세스
C:\Program Files\addendum_sb\nmnewup.exe :: 시작 프로그램 등록 파일
C:\Program Files\addendum_sb\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\addendum_sb\nmnewib.dll
- MD5 : 9da5bc23e398ccc665a7002417902ba2
- AhnLab V3 : PUP/Win32.Addendum (VT : 8/46)
C:\Program Files\addendum_sb\nmnewim.dll
- MD5 : 3932ca16197dd20ae7a19202c8c3c6ca
- AhnLab V3 : Win-PUP/Helper.Addendum.307200.D (VT : 23/46)
C:\Program Files\addendum_sb\nmnewmgr.exe
- MD5 : b7f678aac03aa7b1035838219c40217d
- AhnLab V3 : PUP/Win32.Addendum (VT : 11/46)
C:\Program Files\addendum_sb\nmnewup.exe
- MD5 : f3c421f406fc71d090b0d1ac829ef18d
- AhnLab V3 : PUP/Win32.Addendum (VT : 34/46)
C:\Program Files\addendum_sb\uninst.exe
- MD5 : 1c30051985d41712764234a853fa0a70
- AhnLab V3 : PUP/Win32.Enumerate (VT : 2/46)
해당 프로그램은 "C:\Program Files\addendum_sb" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\addendum_sb\nmnewup.exe" 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 nmnewmgr.exe 파일을 실행하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속할 경우, 사용자 검색 키워드 값을 참조하여 웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하는 동작을 확인할 수 있습니다.
이름 : IESMon.Mon4
게시자 : NemoNamuMedia
유형 : 브라우저 도우미 개체
CLSID : {2F40ECDC-6F7B-4CF3-B1D0-ED8845084912}
파일 : C:\Program Files\addendum_sb\nmnewim.dll
이름 : Addendum-nm
게시자 : NemoNamuMedia
유형 : 탐색창
CLSID : {B15C15A2-B16C-4077-B7D8-E725A6D397C5}
파일 : C:\Program Files\addendum_sb\nmnewib.dll
해당 광고 동작은 웹 브라우저 실행시 nmnewib.dll, nmnewim.dll 파일을 탐색창 및 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통해 사이드바 광고를 생성하므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "IESMon.Mon4", "Addendum-nm" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 nmnewmgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Addendum-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
PropSummary
HKEY_LOCAL_MACHINE\SOFTWARE\chknm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F40ECDC-6F7B-4CF3-B1D0-ED8845084912}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B15C15A2-B16C-4077-B7D8-E725A6D397C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESB.Band4
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESMon.Mon4
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B385A7FB-932C-48B3-98E9-697A09EF7BF5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B390FE9B-8925-475B-A369-8489DBDAC0CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{57290E9B-77B1-4C77-B896-8C311E6D06AA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CC16854D-711E-4D51-836D-ADFBE3F05455}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2F40ECDC-6F7B-4CF3-B1D0-ED8845084912}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- nmnew = C:\Program Files\addendum_sb\nmnewup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
nmnew
HKEY_LOCAL_MACHINE\SOFTWARE\nmnew
해당 프로그램은 Addendum, Enumerate 검색 도우미 시리즈를 통해 다양한 이름과 파일로 구성된 프로그램을 다수 배포하고 있으므로, 원치 않는 광고 프로그램이 설치되지 않도록 주의하시기 바랍니다.