본문 바로가기

벌새::PUP Info

검색 도우미 : DreamPrime - obidir (2014.3.14)

반응형

 

Internet Explorer 웹 브라우저를 이용하는 과정에서 인터넷 쇼핑몰 등 광고창이 생성되는 검색 도우미 DreamPrime 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : DreamPrime (2014.3.10)

 

DreamPrime은 기존의 SubShop 악성 광고 프로그램의 변종으로 설치된 환경에서는 제어판을 통한 프로그램 삭제를 지원하지 않는 문제로 사용자는 프로그램 설치 여부를 인지하기 매우 어렵도록 제작되어 있는 것이 특징입니다.

 

■ DreamPrime 변종 프로그램(obidir) 정보

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidir.exe

MD5

 17A1358A2F2C92719B1B63B2BF40EE37

디지털 서명

 dreamprime

파일 설명

 Dream WebAD Application

제품 이름

 dreamprime

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidirvc.exe

MD5

 99328EAB78BF6B9F6AE25432D77ECA50

진단명

 PUP/Win32.SubShop (AhnLab V3)

디지털 서명

 dreamprime

파일 설명

 Dream WebAD run-Application

제품 이름

 dreamprime

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\obidirv

비고

 서비스(obidirv, 표시 이름 : Dream WebAD run-Application) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\SafeZonelib.dll

MD5

 AF4764A1C5A37F0EECCECF6C514D3E90

비고

 메모리 상주 모듈

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\SLEsperant.exe

MD5

 52010BE5AA224F2C58DF2E3E1941ED08

진단명

 Gen:Variant.Adware.Graftor.123194 (BitDefender)

디지털 서명

 LEEYEON communication Co.,Ltd

파일 설명

 SLEsperant

제품 이름

 SLEsperant

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\obidir\Yestoplib.dll

MD5

 855073623CBC6A235349465ECB50BE1D

디지털 서명

 Zest On co ltd

비고

 메모리 상주 모듈

 

DreamPrime 변종 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\obidir" 폴더에 파일을 생성하며, "obidirv (표시 이름 : Dream WebAD run-Application)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidirvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\obidir\obidir.exe", "C:\Users\(사용자 계정)\AppData\Roaming\obidir\SLEsperant.exe" 2개의 파일을 추가 로딩하여 메모리에 상주시켜 사용자가 인터넷을 이용하는 과정에서 광고창 생성 동작을 수행할 수 있습니다.

 

해당 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 하지 못하도록 방해할 목적으로 삭제 항목을 제공하지 않고 있으므로, "C:\Users\(사용자 계정)\AppData\Roaming\obidir\uninstall.exe" 파일을 찾아 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

만약 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음의 절차를 참고하여 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "obidirv"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 obidir.exe, SLEsperant.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\obidir" 폴더를 찾아 삭제하시기 바랍니다.

 

DreamPrime 검색 도우미 프로그램은 광고 기능을 수행하는 광고 모듈을 삽입한 모듈형 광고 배포 프로그램으로 생성된 파일에는 다음과 같은 디지털 서명이 포함되어 있는 것이 특징입니다.

  • DreamPrime 프로그램(obidir.exe, obidirvc.exe) 디지털 서명 : dreamprime
  • SLEsperant.exe 광고 모듈 디지털 서명 : LEEYEON communication Co.,Ltd
  • Yestoplib.dll 광고 모듈 디지털 서명 : Zest On co ltd

또한 DreamPrime 프로그램은 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내부에 다양한 이름의 폴더를 생성하며, 내부에 생성된 DreamPrime 프로그램 관련 파일은 폴더명에 종속적입니다.

 

기존의 SubShop, Now Dream Service Application, TabStation 등의 다양한 검색 도우미 프로그램을 기반으로 한 변종 프로그램들은 사용자에 의한 프로그램 삭제를 악의적으로 방해하는 방식으로 수익 활동을 전개하고 있으므로 이러한 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.

728x90
반응형