본문 바로가기

벌새::Analysis

매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MGCS System" 광고 주의 (2013.10.27)

반응형

다양한 배포 경로를 통해 설치가 이루어지는 유해 사이트 차단 프로그램 매직케어(MagicCare) 프로그램은 필수적으로 포함된 광고 기능으로 인하여 자동으로 광고창이 생성되는 문제를 유발하는 것으로 확인되고 있습니다.

 

특히 제어판에 등록된 "MGCS System" 삭제 항목을 통해 프로그램을 삭제하는 과정에서 오류가 발생하여 프로그램이 삭제되지 않는 문제로 인해 지속적인 수익 활동이 발생하므로 주의하시기 바랍니다.

대표적인 배포 방식을 살펴보면 블로그 또는 파일 자료실에 등록된 파일을 다운로드하여 실행하면 "초고속 다운로드 런쳐" 창을 생성하여 사용자의 눈에 보이지 않는 영역에 악성코드를 비롯한 다수의 제휴 프로그램을 등록하여 사용자의 실수를 통해 설치가 이루어지고 있습니다.

 

이 글에서는 매직케어(MagicCare) 프로그램의 배포 파일(MD5 : a5fba41f4eb802b1af07c0edef14ea2a)을 이용하여 분석을 진행하였으며, 해당 파일에 대하여 Symantec 보안 제품에서는 Downloader (VT : 6/47) 진단명으로 진단되고 있습니다.

배포 파일이 다운로드되어 실행되면 매직케어(MagicCare) 설치 파일을 추가적으로 다운로드하여 "C:\Program Files\MGCS\MagicCareSetup.exe" 파일<MD5 : 4e1f48c4eff4ecff337603c87656307b - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 9/47)>로 생상하여 프로그램이 설치됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\MGCS
C:\Program Files\MGCS\category.dt
C:\Program Files\MGCS\MagicCareSetup.exe
C:\Program Files\MGCS\mgcagt.exe :: 메모리 상주 프로세스
C:\Program Files\MGCS\mgcen.exe :: 메모리 상주 프로세스
C:\Program Files\MGCS\mgchmgr.exe
C:\Program Files\MGCS\mgcmain.exe :: MagicCare 프로그램 실행 파일
C:\Program Files\MGCS\mgcpatch.exe
C:\Program Files\MGCS\mgcsdata.dat
C:\Program Files\MGCS\mgcsrv.exe :: 서비스(MagicCare System) 등록 파일, 메모리 상주 프로세스
C:\Program Files\MGCS\mgcstcheck.dll
C:\Program Files\MGCS\mgctac.dll
C:\Program Files\MGCS\mgcth.exe :: 예약 작업(mgcth) 등록 파일, 메모리 상주 프로세스
C:\Program Files\MGCS\mgcuninstall.exe :: 프로그램 삭제 파일
C:\Program Files\MGCS\nhopen.dll
C:\Program Files\MGCS\protectdb.dat
C:\Program Files\MGCS\protectdb2.dat
C:\Windows\System32\Tasks\mgcth

 

[생성 파일 진단 정보]

 

C:\Program Files\MGCS\MagicCareSetup.exe
 - MD5 : 4e1f48c4eff4ecff337603c87656307b
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 9/47)

 

C:\Program Files\MGCS\mgcen.exe
 - MD5 : dbf1253209dcabfa65a0e22c84888e30
 - nProtect : Adware/W32.Agent.208856 (VT : 21/47)

 

C:\Program Files\MGCS\mgcth.exe
 - MD5 : f90da4aa459ecff2e65d696799132e99
 - avast! : Win32:Adware-AZC [Adw] (VT : 20/46)

 

C:\Program Files\MGCS\nhopen.dll
 - MD5 : f5d42cede825202e5c55f2589576c1c8
 - nProtect : Adware/W32.KrAdword.1412056 (VT : 3/47)

해당 프로그램은 "C:\Program Files\MGCS" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 하도록 제작되어 있습니다.

 

1. "MagicCare System(MGCS System)" 서비스 등록

"MagicCare System(MGCS System)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\MGCS\mgcsrv.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(mgcsrv.exe)은 "C:\Program Files\MGCS\mgcpatch.exe" 파일을 추가적으로 로딩하여 다음과 같은 정보를 백그라운드 방식으로 체크합니다.

 

  • C:\Windows\System32\mgcsvsdt.dat :: 매직케어(MagicCare) 프로그램 버전 체크
  • C:\Windows\System32\mgcsdata.html :: 매직케어(MagicCare) 프로그램 이용약관 체크

그 후 "C:\Program Files\MGCS\mgcpatch.exe" 파일은 "C:\Program Files\MGCS\mgcagt.exe" 파일을 실행한 후 자동 종료 처리됩니다.

실행된 mgcagt.exe 파일은 자식 프로세스가 "C:\Program Files\MGCS\mgcen.exe" 파일을 실행하여 광고창 생성 기능을 가진 Windows NAP 관련 광고 구성값 정보를 체크하는 동작을 수행합니다.

 

2. "mgcth" 작업 스케줄러 등록

예약 작업에 "mgcth" 작업 스케줄러를 등록하여 사용자 로그인시 "C:\Program Files\MGCS\mgcth.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 광고창을 생성하는 오픈팟(OpenPot) 광고 기능을 수행하기 위해 메모리에 상주합니다.

특히 오픈팟(OpenPot) 광고는 다양한 프로그램 또는 광고 프로그램에 부가적으로 추가되어 인터넷 검색시 광고창을 자동으로 생성할 수 있습니다.

 

3. 매직케어(MagicCare) 프로그램 정보

설치된 매직케어(MagicCare) 프로그램은 프로그램 목록 또는 바로가기 아이콘 생성 동작이 없기 때문에 사용자가 직접 "C:\Program Files\MGCS\mgcmain.exe" 파일을 찾아 실행한 경우에만 유해 사이트 차단 기능을 가진 매직케어(MagicCare) 메인 화면을 볼 수 있습니다.

 

특히 유해 사이트 차단 기능이 기본값으로 비활성화(OFF)된 상태로 설치되기 때문에 실제 프로그램이 설치된 환경에서는 매직케어(MagicCare) 프로그램의 기능은 쉽게 경험할 수 없으며, 필수적으로 포함된 광고 기능만 동작합니다.

 

4. 기본적인 광고 동작

대표적인 광고 동작 방식은 사용자가 프로그램에서 지정한 특정 검색 키워드를 이용하여 인터넷 검색을 시도할 경우 자동으로 광고창이 생성될 수 있습니다.(※ 그 중 최근 "파일브이" 웹하드 광고창이 대표적입니다.)

또한 Windows 시작시 자동으로 "cl.ncclick.co.kr" 제휴 코드를 경유하는 광고창을 생성하는 동작도 확인할 수 있습니다.

 

그 외에도 인터넷 검색을 통해 제시된 웹 사이트 방문시, 웹 브라우저 창(탭) 종료시 등 다양한 조건에서 자동으로 광고창을 생성하여 불편을 유발할 수 있습니다.

 

5. 프로세스 정보

매직케어(MagicCare) 프로그램이 설치된 환경에서는 작업 스케줄러 프로세스(taskeng.exe)를 통해 자동 실행되어 오픈팟(OpenPot) 광고 기능을 담당하는 mgcth.exe, "MagicCare System(MGCS System)" 서비스를 통해 자동 실행되는 mgcsrv.exe, 그 외 Windows NAP 광고 기능을 담당하는 mgcagt.exe 및 mgcen.exe 프로세스가 메모리에 상주합니다.

 

6. 프로그램 삭제 방법

기본적으로 매직케어(MagicCare) 프로그램은 제어판에 등록된 "MGCS System" 삭제 항목을 통해 삭제할 수 있도록 제공되고 있지만, 실제 프로그램 삭제를 진행하면 오류창이 발생하여 제어판에 등록된 "MGCS System" 삭제 목록만 제거될 뿐 프로그램은 삭제되지 않습니다.(※ 현재(2013년 10월 28일)는 설치 파일 변경을 통해 제어판을 통한 삭제를 지원하고 있는 것으로 파악되고 있습니다.)

 

그러므로 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.(※ Windows 7 운영 체제를 기준으로 합니다.)

 

(1) "보조 프로그램 → 명령 프롬프트" 메뉴에 마우스 우클릭을 하여 "관리자 권한으로 실행" 메뉴를 선택하시기 바랍니다.

생성된 "명령 프롬프트" 창에 다음과 같은 명령어를 순서대로 입력 및 실행하시면 "MagicCare System(MGCS System)" 서비스 중지를 통한 mgcsrv.exe 프로세스 종료 및 서비스 등록 레지스트리 값 삭제를 자동으로 하실 수 있습니다.

 

  • sc stop "MagicCare System"
  • sc delete "MagicCare System"

(2) Windows 작업 관리자를 실행하여 mgcth.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

추가적으로 mgcagt.exe, mgcen.exe 프로세스를 종료 시도할 경우 "프로세스를 종료할 수 없습니다."라는 오류창이 생성되므로, 반드시 "모든 사용자의 프로세스 표시" 버튼을 클릭하여 표시된 프로세스 중 mgcagt.exe, mgcen.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(3) Windows 탐색기를 통해 "C:\Program Files\MGCS\mgcuninstall.exe" 파일을 찾아 직접 실행하시기 바랍니다.

생성된 "MagicCare Uninstall" 창에서 "프로그램 삭제확인 비밀번호"에 표시된 "숫자+영문"을 참조하여 "비밀번호 확인" 공란에 입력한 후, "프로그램 삭제에 동의합니다." 체크 박스에 체크한 후 "확인" 버튼을 클릭하시면 프로그램이 정상적으로 삭제됩니다.

 

만약 "C:\Program Files\MGCS\mgcuninstall.exe" 파일이 없거나 삭제에 실패하는 경우에는 "C:\Program Files\MGCS" 폴더 자체를 삭제하셔도 됩니다.

 

프로그램 삭제가 이루어진 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\MGCS
  • C:\Program Files\MGCS\mgcuninstall.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AnyBord
HKEY_CURRENT_USER\Software\magiccare
HKEY_LOCAL_MACHINE\SOFTWARE\MGCSProp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MagicCare_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2610CEB9-FCF8-40FA-ABF3-DB0024BB47B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\mgcth
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MagicCare System

 

이전부터 지속적으로 기능이 비활성화된 유해 사이트 차단 프로그램을 배포하면서 프로그램에 필수적으로 포함된 광고 기능을 통해 인터넷 검색시 원치않는 광고창을 생성하는 방식의 마케팅 방식이 발견되고 있으므로, 블로그 또는 신뢰할 수 없는 파일 자료실을 통해 프로그램을 다운로드하는 행위 자체를 하지 않도록 주의하시기 바랍니다.

 

[관련글 보기]

 

제휴(스폰서) 프로그램 : 안전지대(Safe Terra) (2011.6.17)

 

제휴(스폰서) 프로그램 : 그린오픈(GreenOpen) 2.0 (2012.2.27)

 

"Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)

 

"Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)

 

iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)

 

악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31)

 

아이키퍼(IKeeper) 유해 사이트 차단 프로그램에 포함된 광고 주의 (2013.8.19)

 
728x90
반응형