울지않는벌새 : Security, Movie & Society

검색 도우미 : Addendum-nm - addendum_sb (dsbnm)

벌새::Analysis

웹 브라우저 좌측 영역에 "Addendum-nm" 사이드바 광고를 생성하며, 명령 모음에 삭제가 되지 않는 "옥션 바로가기" 아이콘을 추가하는 검색 도우미 "Addendum-nm" 프로그램에 대해 살펴보도록 하겠습니다.

  가짜 Daum PotPlayer 파일을 이용한 수익성 프로그램 설치 유도 주의 (2012.11.29)

 

"Addendum-nm - addendum_sb (dsbnm)" 프로그램의 대표적인 배포 방식을 살펴보면 블로그 또는 파일 자료실에 등록된 소프트웨어 설치 파일<MD5 : b73606b78240ffac4a4a54ac63c2225c - AhnLab V3 : PUP/Win32.Downloader.C164704 (VT : 29/48)>을 다운로드하면 그림과 같은 "파일 다운로드" 창을 생성하여 다수의 수익성 프로그램을 일괄 동의에 의해 설치하는 과정에서 "에덴덤"이라는 이름으로 설치되고 있습니다.

이를 통해 특정 서버로부터 설치 파일<MD5 : 839f1ca3c09c168bc45e165345aa6913 - AhnLab V3 : PUP/Win32.Enumerate.R35354 (VT : 15/48)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\addnv11.exe" 파일로 생성한 후 프로그램 설치가 완료되면 자동 삭제 처리가 됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmib.dll
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmim.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmmgr.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmup.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\uninst.exe :: 프로그램 삭제 파일
C:\Windows\auction.ico
C:\Windows\System32\alrimad.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmib.dll
 - MD5 : 17ec4228789363c22824e33ba14908f0
 - AhnLab V3 : PUP/Win32.Addendum (VT : 8/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmim.dll
 - MD5 : 5bda5863320d8dc05cad36c3b085f073
 - AhnLab V3 : PUP/Win32.Addendum (VT : 17/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmmgr.exe
 - MD5 : 93f0d6eae7c939a58eaa300d64b6b7d2
 - AhnLab V3 : Trojan/Win32.Badur (VT : 20/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmup.exe
 - MD5 : d77e9332306778e482f987dee80c1112
 - MSE : Adware:Win32/Addendum (VT : 31/49)

 

C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\uninst.exe
 - MD5 : 9ce92499ee279e3a34b59a66deb02a3c
 - AhnLab V3 : PUP/Win32.Enumerate (VT : 3/49)

 

C:\Windows\System32\alrimad.dll
 - MD5 : f509841fc9efe4d4ce15ab48f6469d37
 - AhnLab V3 : Win-PUP/Helper.HipPop.672256 (VT : 1/49)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmup.exe" 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 구성되어 있습니다.

 

그 후 "C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmmgr.exe" 파일을 로딩하여 광고 구성값 체크 및 메모리에 상주시킵니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 방문할 경우, 웹 브라우저 좌측 영역에 검색 키워드 값을 참조한 "Addendum-nm" 사이드바 광고가 생성되어 스폰서 검색 결과를 표시합니다.

 

해당 사이드바 광고에 표시된 콘텐츠를 통해 웹 사이트에 접속하는 과정에서 Daum 클릭스(ma.biz.daum.net) 제휴 코드가 추가되는 것을 확인할 수 있습니다.

또한 웹 브라우저의 명령 모음에 "옥션 바로가기" 아이콘을 등록하여 옥션(Auction) 인터넷 쇼핑몰에 접속하는 과정에서 특정 제휴 코드가 추가되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IESMon.Mon

게시자 : NemoNamuMedia

유형 : 브라우저 도우미 개체

CLSID : {CBD9D4BF-48E2-4722-9835-7B37AD522465}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmim.dll

 

이름 : Addendum-nm

게시자 : NemoNamuMedia

유형 : 탐색창

CLSID : {97A56A69-A117-4D34-B955-9EAF2DB8DB97}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmib.dll

 

이름 : 옥션 바로가기

유형 : 브라우저 확장

CLSID : {FF5CBC30-F3C4-4F82-B398-F01FC9A4830C}

 

해당 광고는 Internet Explorer 웹 브라우저 실행시 dsbnmim.dll, dsbnmib.dll 2개의 파일을 브라우저 도우미 개체(BHO)와 탐색창으로 등록하여 검색 키워드 값을 참조하여 사이드바 광고를 생성하며, 웹 브라우저의 명령 모음에 "옥션 바로가기" 아이콘을 등록하도록 구성되어 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "IESMon.Mon", "Addendum-nm", "옥션 바로가기" 3개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 dsbnmmgr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Addendum-nm" 삭제 항목을 이용하여 삭제할 수 있습니다.

하지만 프로그램 삭제 이후에도 명령 모음에 등록된 "옥션 바로가기" 아이콘은 삭제되지 않고 지속적으로 수익 활동을 할 수 있으므로, 다음과 같은 파일과 레지스트리 값을 추가적으로 삭제하시기 바랍니다.

  • C:\Windows\auction.ico
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FF5CBC30-F3C4-4f82-B398-F01FC9A4830C} :: 레지스트리 편집기(regedit) 실행
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\Software\chknm
HKEY_CURRENT_USER\Software\AppDataLow\Software\dsbnm
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97A56A69-A117-4D34-B955-9EAF2DB8DB97}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBD9D4BF-48E2-4722-9835-7B37AD522465}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESB.Band
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESMon.Mon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A5E3F76A-0979-4CBB-99BC-FBEADCC66922}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CA6A56E1-138B-473A-A562-004430EA03E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C6714C88-44AA-445D-A1CF-40DE9D63018E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E9033227-00F5-4005-A802-B5965EAD3C72}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FF5CBC30-F3C4-4f82-B398-F01FC9A4830C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CBD9D4BF-48E2-4722-9835-7B37AD522465}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - dsbnm = C:\Users\(사용자 계정)\AppData\Roaming\addendum_sb\dsbnmup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
dsbnm

 

"Addendum-nm" 검색 도우미 시리즈는 파일명을 변경하는 방식으로 다양한 버전이 지속적으로 발견되고 있으며, 제어판을 통해 프로그램을 삭제한 이후에도 수익 목적으로 일부 광고 기능을 유지하고 있으므로 주의하시기 바랍니다.