최근 소개한 매직케어(MagicCare) 유해 사이트 차단 프로그램 "MGCS System"이 설치된 경우 광고창 생성 및 프로그램 삭제가 정상적으로 이루어지지 않는 문제에 대해 언급한 적이 있었습니다.
▷ 매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MGCS System" 광고 주의 (2013.10.27)
그 후 프로그램의 삭제 기능은 변경이 된 것으로 보이며, 추가적으로 매직케어(MagicCare) 프로그램이 "MG Internet Platform(License Version 2.0)" 이름으로 변경되어 배포되고 있기 변경된 부분에 대해 살펴보도록 하겠습니다.
프로그램 설치를 목적으로 배포되는 파일(MD5 : 68672fc07504a04806dcb2b402e463ca)에 대하여 avast! 보안 제품에서는 Win32:Adware-AZC [Adw] (VT : 7/47) 진단명으로 진단되고 있습니다.
배포 파일이 실행되면 특정 IP 서버로부터 매직케어(MagicCare) 설치 파일<MD5 : b7266cb51af99a08ae22149ee8d4d55b - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 11/46)>을 다운로드하여 "C:\Program Files\MG Internet Platform\MagiccareVer2Setup.exe" 파일로 생성한 후 프로그램 설치가 진행됩니다.
C:\Program Files\MG Internet Platform
C:\Program Files\MG Internet Platform\category.dt
C:\Program Files\MG Internet Platform\ipmvdt.dat
C:\Program Files\MG Internet Platform\isdata.dt
C:\Program Files\MG Internet Platform\isdatax.dt
C:\Program Files\MG Internet Platform\MagiccareVer2Setup.exe
C:\Program Files\MG Internet Platform\nhopen.dll
C:\Program Files\MG Internet Platform\nmgchck.dll
C:\Program Files\MG Internet Platform\nmgconfig.exe :: 매직케어(MagicCare) 프로그램 실행 파일
C:\Program Files\MG Internet Platform\nmgnat.exe :: 메모리 상주 프로세스
C:\Program Files\MG Internet Platform\nmgremove.exe :: 프로그램 삭제 파일
C:\Program Files\MG Internet Platform\nmgse.exe
C:\Program Files\MG Internet Platform\nmgsrv.exe :: 서비스(MG Internet Platform(License Version 2.0)) 등록 파일, 메모리 상주 프로세스
C:\Program Files\MG Internet Platform\nmgstate.exe
C:\Program Files\MG Internet Platform\nmgsync.exe :: 메모리 상주 프로세스
C:\Program Files\MG Internet Platform\nmgth.exe :: 예약 작업(nmgth) 등록 파일, 메모리 상주 프로세스
C:\Program Files\MG Internet Platform\nmgts.dll
C:\Windows\System32\Tasks\nmgth
C:\Program Files\MG Internet Platform\MagiccareVer2Setup.exe
- MD5 : b7266cb51af99a08ae22149ee8d4d55b
- Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 11/46)
C:\Program Files\MG Internet Platform\nhopen.dll
- MD5 : 6da593d89a7597a363070fccace0d868
- nProtect : Adware/W32.KrAdword.1412056 (VT : 2/47)
C:\Program Files\MG Internet Platform\nmgsync.exe
- MD5 : 58f014263d6efa3e9b14157b0069783f
- AhnLab V3 : PUP/Win32.WindowsNAS (VT : 13/46)
C:\Program Files\MG Internet Platform\nmgth.exe
- MD5 : 457a60c0a9286f510526bb2bb779430a
- Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 19/46)
매직케어(MagicCare Ver 2.0) 프로그램은 "C:\Program Files\MG Internet Platform" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 하도록 구성되어 있습니다.
1. "MG Internet Platform(License Version 2.0) (표시 이름 : MG Internet Platform)" 서비스 등록
"MG Internet Platform(License Version 2.0) (표시 이름 : MG Internet Platform)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\MG Internet Platform\nmgsrv.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(nmgsrv.exe)은 "C:\Program Files\MG Internet Platform\nmgse.exe" 파일을 추가적으로 실행하여 다음과 같은 정보를 체크합니다.
- C:\Windows\System32\ipmvsdt.dat :: 매직케어(MagicCare) 프로그램 버전 체크
- C:\Windows\System32\ipmsdt.html :: 매직케어(MagicCare) 프로그램 이용약관 체크
그 후 nmgse.exe 파일은 "C:\Program Files\MG Internet Platform\nmgnat.exe" 파일을 로딩한 후 자신은 종료 처리됩니다.
실행된 nmgnat.exe 파일은 특정 서버에 파트너 아이디(ID) 값을 기반으로 광고 구성값 정보를 요청합니다.
또한 "C:\Program Files\MG Internet Platform\nmgth.exe", "C:\Program Files\MG Internet Platform\nmgsync.exe" 2개의 파일을 추가 로딩하도록 되어 있습니다.
추가 로딩된 nmgsync.exe 파일은 주기적으로 Windows NAP 광고와 관련된 업데이트 서버에 광고 구성값 정보를 반복적으로 하는 동작이 발생하며, 현재는 정상적으로 정보를 받아오지 못하는 것으로 판단됩니다.
2. "nmgth" 작업 스케줄러 등록
예약 작업에 "nmgth" 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files\MG Internet Platform\nmgth.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.
이를 통해 오픈팟(OpenPot) 광고 관련 구성값 정보를 체크하여 인터넷 검색시 광고창을 자동으로 생성할 수 있습니다.
3. 매직케어(MagicCare) 프로그램 정보
"MG Internet Platform(License Version 2.0)" 프로그램이 설치된 환경에서는 프로그램 목록 또는 바로가기 아이콘을 생성하지 않는 방법을 통해 매직케어(MagicCare) 프로그램이 설치되었음을 사용자들이 인지하지 못하도록 합니다.
만약 사용자가 "C:\Program Files\MG Internet Platform\nmgconfig.exe" 파일을 찾아 직접 실행한 경우에만 매직케어(MagicCare) 프로그램이 실행되며, 기본값으로는 성인 사이트 및 도박 사이트 차단 기능이 비활성화(OFF)된 상태로 설치되어 있습니다.
이를 통해 유해 사이트 차단 기능을 제공하는 매직케어(MagicCare) 프로그램은 아무런 동작을 하지 않으며, 프로그램 설치시 필수적으로 포함되는 2종의 광고 기능만이 동작하여 인터넷 이용시 원치않는 광고창 생성이 발생합니다.
4. 기본적인 광고 동작
"MG Internet Platform(License Version 2.0)" 프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 추가적인 광고창이 생성될 수 있습니다.
참고로 연결되는 URL 정보에서는 오픈매치(OpenMatch) 광고 서버를 경유하여 제휴 코드가 추가된 상업적 웹 사이트가 오픈되는 것으로 확인되고 있습니다.
또한 Internet Explorer 웹 브라우저를 종료하는 과정에서 사용자의 검색 키워드 값을 참조하여 제휴 코드가 추가된 광고창을 자동으로 생성하는 동작도 이루어집니다.
5. 프로세스 정보
"MG Internet Platform(License Version 2.0)" 프로그램이 설치된 환경에서는 시스템 시작시 작업 스케줄러 프로세스(taskeng.exe)를 통해 nmgth.exe 프로세스가 자동 생성되며, "MG Internet Platform(License Version 2.0)" 서비스 등록을 통해 nmgsrv.exe 프로세스가 자동 생성되어 nmgnat.exe, nmgsync.exe 프로세스를 추가로 로딩하여 메모리에 상주시킵니다.
그러므로 프로그램 삭제시에는 다음과 같은 방식으로 먼저 프로세스를 종료하시기 바랍니다.
(1) "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭으로 선택하여 "관리자 권한으로 실행"을 선택하여 실행하시기 바랍니다.
생성된 명령 프롬프트 창에 [sc stop "MG Internet Platform(License Version 2.0)"] 명령어를 입력 및 실행하여 동작 중인 nmgsrv.exe 서비스 프로세스를 자동으로 종료할 수 있습니다.
(2) Windows 작업 관리자를 실행하여 nmgnat.exe, nmgsync.exe, nmgth.exe 프로세스를 모두 종료하시기 바랍니다.
6. 프로그램 삭제 방법
프로세스 종료 후에는 제어판에 등록된 "MG Internet Platform(License Version 2.0)" 삭제 항목을 클릭하여 프로그램을 삭제할 수 있으며, 삭제시 생성되는 "Uninstaller" 창에 표시된 "숫자+영문"으로 구성된 임의의 "Password" 값을 참조하여 "Password Confirm" 공란에 대소문자를 구분하여 입력하시기 바랍니다.(※ 일부 설치 환경에서는 "MagicCare ver 2.0" 이라는 이름으로 제어판에 등록되어 있을 수 있습니다.)
그 후 "Uninstall Agreement" 체크 박스에 체크를 한 후 "Uninstall" 버튼을 클릭하시면 프로그램 삭제가 진행됩니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Program Files\MG Internet Platform
- C:\Program Files\MG Internet Platform\nmgremove.exe
HKEY_CURRENT_USER\Software\AnyBord
HKEY_CURRENT_USER\Software\magiccare
HKEY_LOCAL_MACHINE\SOFTWARE\MGInternetPlatform
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MagiccareInternetPlatform_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B20F59A2-DE27-4155-A913-7CB06714668A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\nmgth
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MG Internet Platform(License Version 2.0)
매직케어(MagicCare) 프로그램은 유해 사이트 차단 기능보다는 광고 기능을 주목적으로 제작된 것으로 보이며, 이로 인하여 인터넷 이용시 원치않는 광고창 생성 및 불필요한 서버 요청이 이루어지고 있습니다.
차후 또 다른 이름으로 프로그램이 변경될 가능성이 높으므로 이런 프로그램이 설치되지 않도록 블로그, 신뢰할 수 없는 파일 자료실 등에서 파일을 다운로드하는 일이 없도록 주의하시기 바랍니다.
☞ 제휴(스폰서) 프로그램 : 안전지대(Safe Terra) (2011.6.17)
☞ 제휴(스폰서) 프로그램 : 그린오픈(GreenOpen) 2.0 (2012.2.27)
☞ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
☞ "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)
☞ iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)
☞ 악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31)