울지않는벌새 : Security, Movie & Society

검색 도우미 : Addendum-nm - addendum_sb (barsi)

벌새::Analysis

웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하는 검색 도우미 "Addendum-nm - addendum_sb (barsi)" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : b89dd3d6c8b849b7e28bc026feb0c3f7)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Enumerate (VT : 7/47) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Addendum-nm - addendum_sb (2012.10.30)

 

  검색 도우미 : Addendum-nm - addendum_sb (nmnew) (2013.4.3)

 

또한 유사한 기능을 가진 다양한 이름의 "Addendum-nm - addendum_sb" 검색 도우미 시리즈가 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiib.dll
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiim.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsimgr.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiup.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\uninst.exe :: 프로그램 삭제 파일

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiib.dll
 - MD5 : 542b1a8c8e3b954da0db44975fc6e7b9
 - AhnLab V3 : PUP/Win32.Addendum (VT : 5/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiim.dll
 - MD5 : 3cfe4815a8f271c491c559e028d2b8df
 - AhnLab V3 : PUP/Win32.Addendum (VT : 10/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsimgr.exe
 - MD5 : 07a5c8b671aae3a83c8a8edaafbc7761
 - MSE : Adware:Win32/Addendum (VT : 15/47)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiup.exe
 - MD5 : 5d39819434de16a00a758ac06cae186c
 - AhnLab V3 : PUP/Win32.Addendum (VT : 22/46)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\uninst.exe
 - MD5 : 7ebee2c44fb9b05bc401335e897e64f2
 - AhnLab V3 : PUP/Win32.Enumerate (VT : 1/47)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 파일(barsiup.exe)은 프로그램 업데이트 및 광고 구성값 체크를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsimgr.exe" 파일을 메모리에 상주시킵니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트 접속하는 과정에서 검색 키워드 값을 참조하여 웹 브라우저의 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하는 동작을 확인할 수 있습니다.

생성된 사이드바 광고를 통해 웹 사이트에 접속할 때에는 특정 광고 서버를 경유하여 Daum 클릭스(ma.biz.daum.net) 제휴 코드가 추가되어 연결되는 것으로 보입니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IESMon.Mon11

게시자 : NemoNamuMedia

유형 : 브라우저 도우미 개체

CLSID : {32D75746-5A7C-486C-938A-67260B2E3982}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiim.dll

 

이름 : Addendum-nm

게시자 : NemoNamuMedia

유형 : 탐색창

CLSID : {21A3CA4D-C2B7-467C-A9A8-45C6F2019316}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiib.dll

 

해당 광고 동작은 웹 브라우저 실행시 barsiib.dll, barsiim.dll 2개의 파일을 탐색창 및 브라우저 도우미 개체(BHO)로 등록하여 사용자 검색 키워드 값을 참조하여 사이드바 광고를 생성하도록 제작되어 있습니다.

 

그러므로 해당 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "IESMon.Mon11", "Addendum-nm" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 barsimgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Addendum-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\Software\barsi
HKEY_CURRENT_USER\Software\AppDataLow\Software\chknm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21A3CA4D-C2B7-467C-A9A8-45C6F2019316}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32D75746-5A7C-486C-938A-67260B2E3982}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESB.Band11
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESMon.Mon11
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2B18E264-C181-4461-A9FF-36177D5A8DF6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BDFEA68C-92A8-47D0-81E0-C18F7CD39EBC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3DE74E69-DB6E-4DB7-A381-8F14E0FFA549}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C7BDCDE6-101C-409A-895C-33B0DC8C9D47}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{32D75746-5A7C-486C-938A-67260B2E3982}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - barsi = C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsiup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\barsi

 

해당 프로그램은 동일한 폴더명(addendum_sb)과 프로그램 이름(Addendum-nm)을 사용하여 내부 파일명을 변경하는 방식으로 다양한 변종 프로그램을 배포하는 것으로 추정되며, 웹 브라우저 사용시 원치 않는 사이드바 광고가 생성되어 불편을 겪지 않도록 주의하시기 바랍니다.