본문 바로가기

벌새::PUP Info

검색 도우미 : DreamPrime - obidir (2014.3.14)

 

Internet Explorer 웹 브라우저를 이용하는 과정에서 인터넷 쇼핑몰 등 광고창이 생성되는 검색 도우미 DreamPrime 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : DreamPrime (2014.3.10)

 

DreamPrime은 기존의 SubShop 악성 광고 프로그램의 변종으로 설치된 환경에서는 제어판을 통한 프로그램 삭제를 지원하지 않는 문제로 사용자는 프로그램 설치 여부를 인지하기 매우 어렵도록 제작되어 있는 것이 특징입니다.

 

■ DreamPrime 변종 프로그램(obidir) 정보

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidir.exe

MD5

 17A1358A2F2C92719B1B63B2BF40EE37

디지털 서명

 dreamprime

파일 설명

 Dream WebAD Application

제품 이름

 dreamprime

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidirvc.exe

MD5

 99328EAB78BF6B9F6AE25432D77ECA50

진단명

 PUP/Win32.SubShop (AhnLab V3)

디지털 서명

 dreamprime

파일 설명

 Dream WebAD run-Application

제품 이름

 dreamprime

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obidirv

비고

 서비스(obidirv, 표시 이름 : Dream WebAD run-Application) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\SafeZonelib.dll

MD5

 AF4764A1C5A37F0EECCECF6C514D3E90

비고

 메모리 상주 모듈

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\SLEsperant.exe

MD5

 52010BE5AA224F2C58DF2E3E1941ED08

진단명

 Gen:Variant.Adware.Graftor.123194 (BitDefender)

디지털 서명

 LEEYEON communication Co.,Ltd

파일 설명

 SLEsperant

제품 이름

 SLEsperant

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\Yestoplib.dll

MD5

 855073623CBC6A235349465ECB50BE1D

디지털 서명

 Zest On co ltd

비고

 메모리 상주 모듈

 

DreamPrime 변종 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\obidir" 폴더에 파일을 생성하며, "obidirv (표시 이름 : Dream WebAD run-Application)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidirvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidir.exe", "C:\Users\(사용자 계정)\AppData\Roaming\obidir\SLEsperant.exe" 2개의 파일을 추가 로딩하여 메모리에 상주시켜 사용자가 인터넷을 이용하는 과정에서 광고창 생성 동작을 수행할 수 있습니다.

 

해당 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 하지 못하도록 방해할 목적으로 삭제 항목을 제공하지 않고 있으므로, "C:\Users\(사용자 계정)\AppData\Roaming\obidir\uninstall.exe" 파일을 찾아 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

만약 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음의 절차를 참고하여 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "obidirv"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 obidir.exe, SLEsperant.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\obidir" 폴더를 찾아 삭제하시기 바랍니다.

 

DreamPrime 검색 도우미 프로그램은 광고 기능을 수행하는 광고 모듈을 삽입한 모듈형 광고 배포 프로그램으로 생성된 파일에는 다음과 같은 디지털 서명이 포함되어 있는 것이 특징입니다.

  • DreamPrime 프로그램(obidir.exe, obidirvc.exe) 디지털 서명 : dreamprime
  • SLEsperant.exe 광고 모듈 디지털 서명 : LEEYEON communication Co.,Ltd
  • Yestoplib.dll 광고 모듈 디지털 서명 : Zest On co ltd

또한 DreamPrime 프로그램은 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내부에 다양한 이름의 폴더를 생성하며, 내부에 생성된 DreamPrime 프로그램 관련 파일은 폴더명에 종속적입니다.

 

기존의 SubShop, Now Dream Service Application, TabStation 등의 다양한 검색 도우미 프로그램을 기반으로 한 변종 프로그램들은 사용자에 의한 프로그램 삭제를 악의적으로 방해하는 방식으로 수익 활동을 전개하고 있으므로 이러한 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.

  • 도와주세요ㅜㅜ 2014.03.20 11:48 댓글주소 수정/삭제 댓글쓰기

    지금 제 컴퓨터 상태가 위에 말씀하신 것과 같습니다. 인터넷 사용시에 자동으로 광고 팝업이 마구 뜨고 제어판>프로그램 제거 에서도 찾을 수가 없습니다. 백신 프로그램으로 PC최적화를 시켰더니 완료후에 잠깐 동안 알림창이 뜨면서 'Dream Webadd application 실행중'이라는 말을 보고 그제서야 이름을 알게되어서 찾아보다가 여기까지 왔네요.
    근데 문제는 위에 알려주신 제거법을 다 해봤는데도 안됩니다. 일단 Roaming이라는 폴더를 탐색기로 찾아봐도 나오질 않구요. obidir라는 파일도 검색이 되질 않습니다. 뭐가 문제일까요. 답답해 죽겠습니다. 도와주세요. ㅠ_ㅠ

    • Roaming 폴더는 숨김 속성 폴더이므로 폴더 옵션에서 숨김 폴더 및 파일이 윈도우 탐색기에서 보일 수 있도록 옵션 변경을 하시고 찾으시기 바랍니다.

      폴더명은 다른 이름으로 등록되어 있을 수도 있습니다.

  • 도와주세요ㅜㅜ 2014.03.20 14:32 댓글주소 수정/삭제 댓글쓰기

    아하! roaming 폴더 알려주신대로 찾았습니다! 저는 obidir가 아니고 indika라는 이름으로 되어있네요. 언인스톨 실행했더니 'dreamprime를 제거하시겠습니까' 라는 팝업창이 떠서 잘 진행했습니다.
    아, 진짜 감사합니다! 며칠동안 고생했는데 덕분에 한시름 놓았습니다. ㅜ-ㅜ)b

  • 김동만 2014.03.30 09:53 댓글주소 수정/삭제 댓글쓰기

    감사합니다.. 저도 dream web ad application 이라는 것 때문에 고생했는데 덕분에 해결하였습니다. 이런 악성 프로그램 배포하는 곳은 고발같은걸 할 수 없는지 너무 화가나네요. 저처럼 컴퓨터에 대해 잘 알지 못하는 사람은 피해를 볼 수 밖에 없으니.. 어쨋든 다시한번 감사드리고 복받으실거에요^^

  • 감사합니다 2014.04.02 19:36 댓글주소 수정/삭제 댓글쓰기

    며칠전 cpuz를 모방한 사이트에서 다운을 받은 후 인터넷만 클릭하면 계속 광고창이 떴는데 생고생만 하다 말씀대로 찾아보니 저는 zulfikhan이라는 폴더명으로 되어있네요. 이제는 괜찮겠지요... 감사합니다.

  • 고맙습니다 2014.04.18 15:45 댓글주소 수정/삭제 댓글쓰기

    저는 traycer 이라는 폴더명으로 되어있었네요..

    정말 큰 도움 받았습니다
    진짜 와 포맷해야하나 싶었는데
    감사합니다

  • 무사 2014.04.28 08:59 댓글주소 수정/삭제 댓글쓰기

    고생하다가 덕분에 해결했습니다.. 감사합니다 ^_^

    위 댓글들 보니 폴더명이 다 다르군요. 이런거 만드는 놈들 진짜 ㅠ