국내에서 제작되어진 검색도우미 프로그램으로 국내 포털사이트 및 쇼핑사이트에서 특정 검색어를 입력시 해당 웹사이트 팝업창을 띄우는 adm-mgr 프로그램에 대하여 살펴보겠습니다.


 생성파일 정보

C:\Program Files\Addendum
C:\Program Files\Addendum\admmgr.exe  - 메모리 상주
C:\Program Files\Addendum\admrup.exe  - 시작프로그램
C:\Program Files\Addendum\iesb_nm.dll
C:\Program Files\Addendum\iesm_nm.dll  - BHO 등록
C:\Program Files\Addendum\uninstall.exe  - 프로그램 삭제



 레지스트리 정보

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
C:\Program Files\Addendum\admrup.exe


재부팅 시 자동실행 되도록 동작하고 있습니다. 해당 프로그램이 설치가 되면 admmgr.exe 파일이 메모리에 상주하고 있습니다.




admmgr.exe 프로세스는 iexplorer.exe 프로세스를 감지하고 있으며 사용자가 웹 브라우저를 시작 시 iexplorer.exe 프로세스에 iesm_nm.dll 을 로드하여 BHO 등록을 하도록 동작합니다.





웹 브라우저 추가기능 관리 확인 시 iesm_nm.dll 이 등록되어 있으며 브라우저 확장 형식으로 옥션 바로가기가 등록이 되어 웹 브라우저 도구모음에 옥션이 등록되어 있는 것을 확인할 수 있습니다.






사용자가 인터넷 검색창에 특정 키워드를 입력 시 관련 사이트를 새창으로 사용자에게 보여주기 전 광고와 관련된 url을 먼저 수행한 후 해당 사이트로 리다이렉션 하는 동작을 합니다. 이러한 방식은 광고 클릭 시 발생하는 수익의 일부를 광고 계시자에게 주는 형태로 되어 있으며 대부분 온라인 광고들이 이러한 수익구조로 되어있습니다. 







 제거방법

프로그램 사용을 원치 않으시면 제어판 -> 프로그램 추가/제거 에서 해당 프로그램을 삭제하시면 됩니다. 설치된 프로그램명은 Addendum - NM 로 되어 있습니다.