인터넷 검색시 자동으로 광고창을 생성하는 기능을 가진 DreamPrime 검색 도우미의 새로운 변종이 확인되어 정보를 공개해 드립니다.
▷ 검색 도우미 : DreamPrime - obidir (2014.3.14)
DreamPrime 검색 도우미 프로그램은 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더(※ Windows 7 운영 체제 기준) 내에 다양한 폴더명으로 설치가 이루어질 수 있으며, 제어판의 프로그램 목록에 등록하지 않는 방식으로 사용자에 의한 프로그램 삭제를 방해하고 있습니다.
■ DreamPrime 변종 프로그램(jlewalle) 정보 (Windows XP 운영 체제 기준)
|
파일 경로 |
C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\jlewalle.exe |
|
MD5 |
32B7D6382C677B0B6840319E01912860 |
|
디지털 서명 |
dreamprime |
|
파일 설명 |
Dream WebAD Application |
|
제품 이름 |
dreamprime |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\jlewallevc.exe |
|
MD5 |
647894A4A23ED435C1D429C31659FC5D |
|
진단명 |
PUP/Win32.SubShop (AhnLab V3) |
|
디지털 서명 |
dreamprime |
|
파일 설명 |
Dream WebAD run-Application |
|
제품 이름 |
dreamprime |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jlewallev |
|
비고 |
서비스(jlewallev, 표시 이름 : DreamPrime) 등록 파일 |
|
파일 경로 |
C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\SLEsperant.exe |
|
MD5 |
1E03CB5DEA6CF76FCEF1E637F7343248 |
|
진단명 |
PUP/Win32.SubShop (AhnLab V3) |
|
디지털 서명 |
LEEYEON communication Co.,Ltd |
|
파일 설명 |
SLEsperant |
|
제품 이름 |
SLEsperant |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\Yestoplib.dll |
|
MD5 |
07EF1AED01BEF663F87912B8B2D727CC |
|
디지털 서명 |
Zest On co ltd |
|
비고 |
메모리 상주 파일 |
"C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle" 폴더(※ Windows XP 운영 체제 기준)에 설치되는 DreamPrime 변종 검색 도우미 프로그램은 "jlewallev (표시 이름 : DreamPrime)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\jlewallevc.exe" 파일을 자동 실행되도록 구성되어 있습니다.
이를 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\jlewalle.exe", "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\SLEsperant.exe" 2개의 파일을 추가 실행하여 메모리에 상주시키며, 사용자가 인터넷 검색을 이용하는 과정에서 다양한 광고창 생성을 유발할 수 있습니다.
DreamPrime 검색 도우미 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 삭제 항목에 등록하지 않으므로, 사용자가 "C:\Documents and Settings\(사용자 계정)\Application Data\jlewalle\uninstall.exe" 파일을 찾아 직접 실행하여 프로그램을 삭제할 수 있습니다.
만약 수동으로 프로그램 삭제를 원하는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.(※ Windows 7 운영 체제 기준)
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "jlewallev"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 jlewalle.exe, SLEsperant.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\jlewalle" 폴더를 찾아 삭제하시기 바랍니다.
DreamPrime 검색 도우미 프로그램은 기본적으로 dreamprime 디지털 서명이 포함된 광고 모듈 배포 프로그램으로 내부에는 다양한 광고 기능을 수행하는 외부 광고 파일들이 포함되어 있는 형태입니다.
- DreamPrime 프로그램(jlewalle.exe, jlewallevc.exe) 디지털 서명 : dreamprime
- SLEsperant.exe 광고 모듈 디지털 서명 : LEEYEON communication Co.,Ltd
- Yestoplib.dll 광고 모듈 디지털 서명 : Zest On co ltd
기존의 SubShop, Now Dream Service Application, TabStation 등의 다양한 광고 모듈 배포 프로그램이 존재하며, 앞으로도 지속적인 변종이 유포될 가능성이 높으므로 설치되지 않도록 주의하시기 바랍니다.
잘보고갑니다
방문해 주셔서 감사합니다.^^
c드라이브다음에그폴더가없어요ㅠㅠ
운영 체제에 따라 폴더 위치가 다를 수 있습니다.
Windows 7의 경우에는 Roaming 폴더에서 찾으라고 글 상단에 언급하고 있으며, 이 분석글은 Windows XP 기준입니다.
정말 감사합니다 덕분에 광고없앨수잇었네요ㅜㅜ
정말 감사드립니다 ㅎㅎ
숨어있는걸 잘 찾으셨네요.^^ 고생하셨습니다.