울지않는벌새 : Security, Movie & Society

검색 도우미 : addsupport 1.0

벌새::Analysis

Internet Explorer 웹 브라우저 상단에 광고바를 생성하며, 권장 업데이트 창을 생성하여 다양한 제휴 프로그램의 설치를 유도할 수 있는 검색 도우미 "addsupport 1.0" 프로그램<MD5 : 840b86a29a2d8427eec54445ac7957f1 - BitDefender : Gen:Variant.Symmi.36013 (VT : 22/47)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\addsupport
C:\Program Files\addsupport\addata.dat
C:\Program Files\addsupport\addsupport_s.exe :: 시작 프로그램 등록 파일
C:\Program Files\addsupport\addsupport_sharebox.dll
C:\Program Files\addsupport\addsupport.exe :: 메모리 상주 프로세스
C:\Program Files\addsupport\uninst.exe :: 프로그램 삭제 파일
C:\Windows\addsupport.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\addsupport\addsupport_s.exe
 - MD5 : fe4ab9c52e1e9c6070de10b65118b9f7
 - ESET : a variant of Win32/Adware.Kraddare.HX (VT : 3/48)

 

C:\Program Files\addsupport\addsupport_sharebox.dll
 - MD5 : 66918860cc023791ca78f046c96996d4
 - nProtect : Adware/W32.KrAdword.677376 (VT : 13/48)

해당 프로그램은 "C:\Program Files\addsupport" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\addsupport\addsupport_s.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 addsupport_s.exe 파일은 특정 개인 도메인(pe.kr)에 등록된 업데이트 정보를 체크하여 프로그램이 등록된 경우 권장 업데이트 창을 생성하여 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

또한 "C:\Program Files\addsupport\addsupport.exe" 파일을 추가적으로 로딩하여 광고 구성값 체크 후 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속시 Internet Explorer 웹 브라우저 상단에 검색어 관련 광고바가 생성되는 동작을 확인할 수 있습니다.

 

  검색 도우미 : Revealing Top Search (2013.1.29)

 

해당 광고바는 기존의 "Revealing Top Search" 검색 도우미 프로그램에서 사용하는 광고바와 유사성이 강하므로 참고하시기 바랍니다.

또한 인터넷 검색을 통해 웹 사이트 접속 과정에서 전체 화면 방식의 추가적인 광고창이 생성되며, 해당 광고창은 "cl.ncclick.co.kr" 제휴 코드를 포함하여 연결되는 것을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 addsupport.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 addsupport.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "addsupport 1.0" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\addsupport.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - addsupport = C:\Program Files\addsupport\addsupport_s.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
addsupport

 

"addsupport 1.0" 검색 도우미 프로그램은 인터넷 검색시 원치않는 광고창 생성으로 불편을 유발할 수 있으며, 차후 업데이트 창을 통해 사용자의 실수를 통해 다양한 불필요한 프로그램(PUP)을 설치할 수 있으므로 주의하시기 바랍니다.