| 국내에서 제작되어진 검색도우미 프로그램으로 국내 포털사이트 및 쇼핑사이트에서 특정 검색어를 입력시 해당 웹사이트 팝업창을 띄우는 adm-mgr 프로그램에 대하여 살펴보겠습니다. |
| 생성파일 정보 |
| C:\Program Files\Addendum C:\Program Files\Addendum\admmgr.exe - 메모리 상주 C:\Program Files\Addendum\admrup.exe - 시작프로그램 C:\Program Files\Addendum\iesb_nm.dll C:\Program Files\Addendum\iesm_nm.dll - BHO 등록 C:\Program Files\Addendum\uninstall.exe - 프로그램 삭제 |
| 레지스트리 정보 |
| "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\" C:\Program Files\Addendum\admrup.exe |
재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 admmgr.exe 파일이 메모리에 상주하고 있습니다. admmgr.exe 프로세스는 iexplorer.exe 프로세스를 감지하고 있으며 사용자가 웹 브라우저를 시작 시 iexplorer.exe 프로세스에 iesm_nm.dll 을 로드하여 BHO 등록을 하도록 동작합니다. |
| 웹 브라우저 추가기능 관리 확인 시 iesm_nm.dll 이 등록되어 있으며 브라우저 확장 형식으로 옥션 바로가기가 등록이 되어 웹 브라우저 도구모음에 옥션이 등록되어 있는 것을 확인할 수 있습니다. |
| 사용자가 인터넷 검색창에 특정 키워드를 입력 시 관련 사이트를 새창으로 사용자에게 보여주기 전 광고와 관련된 url을 먼저 수행한 후 해당 사이트로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 클릭 시 발생하는 수익의 일부를 광고 계시자에게 주는 형태로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다. |
| 제거방법 |
| 프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 Addendum - NM 로 되어 있습니다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 스마트보안 :: SmartBoan (0) | 2011.10.28 |
|---|---|
| 유해사이트 차단 프로그램 :: 안전지대 (SafeTerra) (0) | 2011.10.26 |
| [악성코드분석] 검색도우미 :: QuickDomainSearch (2) | 2011.10.24 |
| [악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드 (0) | 2011.10.13 |
| [정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점 (0) | 2011.10.07 |