Internet Explorer 웹 브라우저를 이용하는 과정에서 인터넷 쇼핑몰 등 광고창이 생성되는 검색 도우미 DreamPrime 프로그램에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : DreamPrime (2014.3.10)
DreamPrime은 기존의 SubShop 악성 광고 프로그램의 변종으로 설치된 환경에서는 제어판을 통한 프로그램 삭제를 지원하지 않는 문제로 사용자는 프로그램 설치 여부를 인지하기 매우 어렵도록 제작되어 있는 것이 특징입니다.
■ DreamPrime 변종 프로그램(obidir) 정보
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidir.exe |
|
MD5 |
17A1358A2F2C92719B1B63B2BF40EE37 |
|
디지털 서명 |
dreamprime |
|
파일 설명 |
Dream WebAD Application |
|
제품 이름 |
dreamprime |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidirvc.exe |
|
MD5 |
99328EAB78BF6B9F6AE25432D77ECA50 |
|
진단명 |
PUP/Win32.SubShop (AhnLab V3) |
|
디지털 서명 |
dreamprime |
|
파일 설명 |
Dream WebAD run-Application |
|
제품 이름 |
dreamprime |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obidirv |
|
비고 |
서비스(obidirv, 표시 이름 : Dream WebAD run-Application) 등록 파일 |
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\obidir\SafeZonelib.dll |
|
MD5 |
AF4764A1C5A37F0EECCECF6C514D3E90 |
|
비고 |
메모리 상주 모듈 |
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\obidir\SLEsperant.exe |
|
MD5 |
52010BE5AA224F2C58DF2E3E1941ED08 |
|
진단명 |
Gen:Variant.Adware.Graftor.123194 (BitDefender) |
|
디지털 서명 |
LEEYEON communication Co.,Ltd |
|
파일 설명 |
SLEsperant |
|
제품 이름 |
SLEsperant |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\obidir\Yestoplib.dll |
|
MD5 |
855073623CBC6A235349465ECB50BE1D |
|
디지털 서명 |
Zest On co ltd |
|
비고 |
메모리 상주 모듈 |
DreamPrime 변종 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\obidir" 폴더에 파일을 생성하며, "obidirv (표시 이름 : Dream WebAD run-Application)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidirvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidir.exe", "C:\Users\(사용자 계정)\AppData\Roaming\obidir\SLEsperant.exe" 2개의 파일을 추가 로딩하여 메모리에 상주시켜 사용자가 인터넷을 이용하는 과정에서 광고창 생성 동작을 수행할 수 있습니다.
해당 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 하지 못하도록 방해할 목적으로 삭제 항목을 제공하지 않고 있으므로, "C:\Users\(사용자 계정)\AppData\Roaming\obidir\uninstall.exe" 파일을 찾아 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.
만약 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음의 절차를 참고하여 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "obidirv"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 obidir.exe, SLEsperant.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\obidir" 폴더를 찾아 삭제하시기 바랍니다.
DreamPrime 검색 도우미 프로그램은 광고 기능을 수행하는 광고 모듈을 삽입한 모듈형 광고 배포 프로그램으로 생성된 파일에는 다음과 같은 디지털 서명이 포함되어 있는 것이 특징입니다.
- DreamPrime 프로그램(obidir.exe, obidirvc.exe) 디지털 서명 : dreamprime
- SLEsperant.exe 광고 모듈 디지털 서명 : LEEYEON communication Co.,Ltd
- Yestoplib.dll 광고 모듈 디지털 서명 : Zest On co ltd
또한 DreamPrime 프로그램은 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내부에 다양한 이름의 폴더를 생성하며, 내부에 생성된 DreamPrime 프로그램 관련 파일은 폴더명에 종속적입니다.
기존의 SubShop, Now Dream Service Application, TabStation 등의 다양한 검색 도우미 프로그램을 기반으로 한 변종 프로그램들은 사용자에 의한 프로그램 삭제를 악의적으로 방해하는 방식으로 수익 활동을 전개하고 있으므로 이러한 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.