인터넷 검색시 웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고가 생성되는 검색 도우미 "Addendum-nm" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 대표적인 배포 방식으로는 웹하드 프로그램 설치시 추가된 제휴 프로그램 중 "쇼핑 도우미" 프로그램(Web Application Manager, Addendum Sidebar, Enumerate Top Search)을 통해 설치될 수 있으므로, 프로그램 설치시에는 추가적으로 설치될 수 있는 프로그램에 대해 주의하시기 바랍니다.
프로그램의 설치가 진행되면 웹하드 설치 프로그램이 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\addnvt1.exe" 파일<MD5 : dffe3ebb379ca639815df5eb6d85e5d8 - Kaspersky : Trojan.Win32.Badur.hln (VT : 18/47)>을 생성하여 검색 도우미 프로그램을 설치한 후 자가 삭제 처리됩니다.
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserib.dll
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserim.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsermgr.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserup.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserib.dll
- MD5 : f26a867ad91351d322cd5dae04a30c9a
- nProtect : Adware/W32.KrAdword.32768.F (VT : 10/47)
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserim.dll
- MD5 : 29cbac87cc03a24a3cf75772b7665e64
- nProtect : Adware/W32.KrAdword.303104.I (VT : 14/46)
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsermgr.exe
- MD5 : 013ab8bfb224f8a33888ce6416ffd806
- AhnLab V3 : PUP/Win32.Addendum (VT : 31/47)
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserup.exe
- MD5 : ea52192e7ba7b41f6720d33544c56113
- nProtect : Adware/W32.Agent.28672 (VT : 31/46)
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\uninst.exe
- MD5 : 06461e6600879cd69646e006e27e01f2
- AhnLab V3 : PUP/Win32.Enumerate (VT : 2/47)
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 시작 프로그램(barserup.exe)은 업데이트 체크 후 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barsermgr.exe" 파일을 로딩하여 메모리에 상주시킵니다.
프로그램이 설치된 환경에서 포털 사이트 검색 서비스 또는 프로그램에서 지정한 특정 인터넷 쇼핑몰 내에서 제공하는 검색 서비스를 통해 특정 검색 키워드 값으로 검색을 시도할 경우, 웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 통해 스폰서 검색 결과를 생성합니다.
사용자가 해당 사이드바 광고를 통해 웹 사이트에 접속할 경우 Daum 클릭스(ma.biz.daum.net) 제휴 코드가 추가되어 연결되는 것을 확인할 수 있습니다.
이름 : IESMon.Mon13
게시자 : NemoNamuMedia
유형 : 브라우저 도우미 개체
CLSID : {2346286A-64F0-41FC-A8D0-13D94C99F736}
파일 : C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserim.dll
이름 : Addendum-nm
게시자 : NemoNamuMedia
유형 : 탐색창
CLSID : {46D165E4-E55C-4E54-98B8-391666434612}
파일 : C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserib.dll
해당 광고는 Internet Explorer 웹 브라우저 실행시 barserim.dll, barserib.dll 파일을 브라우저 도우미 개체(BHO) 및 탐색창으로 추가하여 특정 검색 키워드 값을 참조하여 사이드바 광고를 생성하도록 되어 있습니다.
그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "IESMon.Mon13", "Addendum-nm" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 해당 프로그램은 barsermgr.exe 프로세스를 메모리에 상주시키므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 barsermgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Addendum-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\AppDataLow\Software\barser
HKEY_CURRENT_USER\Software\AppDataLow\Software\chknm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2346286A-64F0-41FC-A8D0-13D94C99F736}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{46D165E4-E55C-4E54-98B8-391666434612}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESB.Band13
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESMon.Mon13
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7BA0C1CC-A54A-4868-B710-5F972EAFD052}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CBC6E2E4-69B7-42CC-AA6F-3195AE9D83AF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AFA1C62A-FD36-4652-B534-7486E53978A6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C70FDFE2-89B5-4F8F-820B-4BE0B80F72DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2346286A-64F0-41FC-A8D0-13D94C99F736}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- barser = C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\barserup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
barser
"Addendum-nm" 검색 도우미 시리즈는 다양한 파일명을 가진 변종 프로그램이 발견되고 있으며, 인터넷 검색 활동 중 원치 않는 사이드바 광고로 인하여 불편을 야기할 수 있으므로 주의하시기 바랍니다.
☞ <2010년~2011년 관련 정보> 검색 도우미 : Addendum - addenbar (2011.11.22) 외 8건
☞ <2012년 관련 정보> 검색 도우미 : Addendum-nm - addendum_sb (2012.10.30) 외 2건
☞ <2013년 1월~8월 관련 정보> 검색 도우미 : Addendum-nm - addendum_sb (bsbnm) (2013.8.29) 외 8건