울지않는벌새 : Security, Movie & Society

검색 도우미 : AddendumLin

벌새::Analysis

인터넷 검색시 웹 브라우저 좌측 영역에 ADDENDUM 사이드바 광고를 노출시키는 검색 도우미 AddendumLin 프로그램(MD5 : 4bd9b7e58765579d5a337f1d12a2c267)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : HipPop (2013.6.21)

 

해당 프로그램의 대표적인 배포 방식은 HipPop 검색 도우미 프로그램의 업데이트 기능을 통해 이루어지고 있으므로 참고하시기 바랍니다.

 

  <2010년~2011년 관련 정보> 검색 도우미 : Addendum - addenbar (2011.11.22) 외 8종

 

  <2012년 관련 정보> 검색 도우미 : Addendum-nm - addendum_sb (2012.10.30) 외 2종

 

  [삭제] Addendum - addentool (2013.2.7)

 

  검색 도우미 : addendum (ts) - 2.0.0.1 (2013.3.30)

 

  검색 도우미 : Addendum-nm - addendum_sb (nmnew) (2013.4.3)

 

Addendum 검색 도우미 프로그램은 예전부터 다양한 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\addendum
C:\Program Files\addendum\lin
C:\Program Files\addendum\lin\addendum.dll
C:\Program Files\addendum\lin\addendumbho.dll :: BHO 등록 파일
C:\Program Files\addendum\lin\addendume.exe :: 시작 프로그램 등록 파일
C:\Program Files\addendum\lin\pled.pld
C:\Program Files\addendum\lin\uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\addendum\lin" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\addendum\lin\addendume.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • C:\Program Files\addendum\lin\addendumbho.dll (MD5 : d0c8fffa8fef7376483f5b0351c8eee3)
  • C:\Program Files\addendum\lin\conifg.ini :: 자가 삭제

자동 실행된 addendume.exe 파일은 업데이트 정보를 체크하여 매번 "C:\Program Files\addendum\lin\addendumbho.dll" 파일 다운로드 및 관련 레지스트리 값을 최신으로 수정합니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통해 웹 사이트에 접속할 경우, 사용자가 입력한 검색 키워드 값을 기반으로 웹 브라우저 좌측 영역에 ADDENDUM 사이드바 광고를 생성하는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : addendum

유형 : 브라우저 도우미 개체

CLSID : {BB5D7E5D-063C-4B4A-A5FA-091B31435B3D}

파일 : C:\Program Files\addendum\lin\addendumbho.dll

 

이름 : addendum

유형 : 탐색창

CLSID : {8D2AAF9E-8870-428B-8FA6-2EA6488D3D56}

파일 : C:\Program Files\addendum\lin\addendum.dll

 

해당 광고 동작은 웹 브라우저 실행시 addendumbho.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 검색 키워드 값을 참조한 사이드바 광고를 노출하도록 되어 있습니다.

 

해당 광고 동작 중지 및 프로그램 삭제시에는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "addendum" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

특히 해당 프로그램은 일부 사용자의 경우 시스템 최적화 프로그램을 통해 BHO 값을 비활성화하는 경우를 대비하여 재부팅시마다 자동으로 BHO 값을 재활성화하는 동작을 확인할 수 있습니다.

이는 시작 프로그램으로 등록된 addendume.exe 파일이 BHO 레지스트리 값을 수정하는 방식으로 재활성화를 하고 있으므로 반드시 프로그램 자체를 삭제하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "AddendumLin" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\addendum" 폴더를 찾아 수동으로 삭제하시기 바랍니다.(※ 다양한 Addendum 관련 프로그램들이 "C:\Program Files\addendum" 폴더를 이용하므로 내부에 다른 프로그램 파일이 존재할 경우 제어판을 통해 삭제하시고 폴더를 삭제하시기 바랍니다.)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\addendum_lin
HKEY_CURRENT_USER\Software\addendum_lin_install_check
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - addendum = C:\Program Files\addendum\lin\addendume.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addendum.addendum
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\addendumbho.addendum
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8D2AAF9E-8870-428B-8FA6-2EA6488D3D56}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB5D7E5D-063C-4B4A-A5FA-091B31435B3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\addendum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{BB5D7E5D-063C-4B4A-A5FA-091B31435B3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
addendum

 

해당 프로그램은 사이드바 광고 생성을 통해 웹 브라우저 속도 저하 및 원치 않는 광고 노출을 시도하므로 주의하시기 바라며, 프로그램 설치 방식이 사용자가 부주의하게 파일 실행을 하는 과정에서 설치되므로 꼼꼼하게 살피는 습관을 가지시기 바랍니다.