인터넷 검색시 자동으로 광고창을 생성하는 기능을 가진 DreamPrime 검색 도우미의 새로운 변종이 확인되어 정보를 공개해 드립니다.

  ▷ 검색 도우미 : DreamPrime - obidir (2014.3.14)

DreamPrime 검색 도우미 프로그램은 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더(※ Windows 7 운영 체제 기준) 내에 다양한 폴더명으로 설치가 이루어질 수 있으며, 제어판의 프로그램 목록에 등록하지 않는 방식으로 사용자에 의한 프로그램 삭제를 방해하고 있습니다.

■ DreamPrime 변종 프로그램(jlewalle) 정보 (Windows XP 운영 체제 기준)

"C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle" 폴더(※ Windows XP 운영 체제 기준)에 설치되는 DreamPrime 변종 검색 도우미 프로그램은 "jlewallev (표시 이름 : DreamPrime)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\jlewallevc.exe" 파일을 자동 실행되도록 구성되어 있습니다.

이를 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\jlewalle.exe", "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\SLEsperant.exe" 2개의 파일을 추가 실행하여 메모리에 상주시키며, 사용자가 인터넷 검색을 이용하는 과정에서 다양한 광고창 생성을 유발할 수 있습니다.

DreamPrime 검색 도우미 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 삭제 항목에 등록하지 않으므로, 사용자가 "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\uninstall.exe" 파일을 찾아 직접 실행하여 프로그램을 삭제할 수 있습니다.

만약 수동으로 프로그램 삭제를 원하는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.(※ Windows 7 운영 체제 기준)

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "jlewallev"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 jlewalle.exe, SLEsperant.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\jlewalle" 폴더를 찾아 삭제하시기 바랍니다.

DreamPrime 검색 도우미 프로그램은 기본적으로 dreamprime 디지털 서명이 포함된 광고 모듈 배포 프로그램으로 내부에는 다양한 광고 기능을 수행하는 외부 광고 파일들이 포함되어 있는 형태입니다.

• DreamPrime 프로그램(jlewalle.exe, jlewallevc.exe) 디지털 서명 : dreamprime
• SLEsperant.exe 광고 모듈 디지털 서명 : LEEYEON communication Co.,Ltd
• Yestoplib.dll 광고 모듈 디지털 서명 : Zest On co ltd

기존의 SubShop, Now Dream Service Application, TabStation 등의 다양한 광고 모듈 배포 프로그램이 존재하며, 앞으로도 지속적인 변종이 유포될 가능성이 높으므로 설치되지 않도록 주의하시기 바랍니다.