매직케어(MagicCare) 유해 사이트 차단 프로그램 설치를 통해 필수적으로 포함되는 광고 기능을 통해 인터넷 검색시 광고창이 생성되며, 사용자에 의한 프로그램 삭제를 방해하는 것으로 확인되고 있는 "MC Program" 프로그램<MD5 : b4a546393deaec59ef640a2b67a7fc78 - AhnLab V3 : PUP/Win32.WindowsNAS (VT : 11/48)>에 대해 살펴보도록 하겠습니다.
▷ 매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MGCS System" 광고 주의 (2013.10.27)
▷ 매직케어(MagicCare) 설치로 인한 "MG Internet Platform(License Version 2.0)" 광고 주의 (2013.10.29)
특히 매직케어(MagicCare) 유해 사이트 차단 프로그램은 버전별로 다양한 프로그램 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.
해당 프로그램은 다양한 유포 경로를 통해 배포 파일이 실행되면 특정 서버로부터 매직케어(MagicCare) 설치 파일<MD5 : fad58ecad99b9bbadc2adfcf1667fcba - Symantec : Trojan.ADH.2 (VT : 8/48)>을 다운로드하여 "C:\Program Files\MC Program\MagiccareVer3Setup.exe" 파일로 생성되어 설치가 진행됩니다.
C:\Program Files\MC Program
C:\Program Files\MC Program\ipmvdt3.dat
C:\Program Files\MC Program\MagiccareVer3Setup.exe
C:\Program Files\MC Program\mccheck.dll
C:\Program Files\MC Program\mcconfig.exe :: 매직케어(MagicCare) 프로그램 설정 파일
C:\Program Files\MC Program\mcdata.dt
C:\Program Files\MC Program\mcdatax.dt
C:\Program Files\MC Program\mcremv.exe :: 프로그램 삭제 파일
C:\Program Files\MC Program\mcsctr.exe :: 메모리 상주 프로세스
C:\Program Files\MC Program\mcse.exe
C:\Program Files\MC Program\mcsopt.exe :: 메모리 상주 프로세스
C:\Program Files\MC Program\mcstate.exe
C:\Program Files\MC Program\mcsvr.exe :: 서비스(MC Program(Version 3.0)) 등록 파일, 메모리 상주 프로세스
C:\Program Files\MC Program\mcsync.exe :: 메모리 상주 프로세스
C:\Program Files\MC Program\mctas.dll
C:\Program Files\MC Program\MagiccareVer3Setup.exe
- MD5 : fad58ecad99b9bbadc2adfcf1667fcba
- Symantec : Trojan.ADH.2 (VT : 8/48)
C:\Program Files\MC Program\mccheck.dll
- MD5 : fa7556bd1bbda6cfde6d49a0ba674d52
- nProtect : Adware/W32.Agent.100824 (VT : 2/48)
C:\Program Files\MC Program\mcse.exe
- MD5 : 314e4b86f05f827cfc318ace3e9f7bd0
- avast! : Win32:Adware-AZC [Adw] (VT : 7/48)
C:\Program Files\MC Program\mcsvr.exe
- MD5 : b3408ac4dce87ecfec459a63653333a5
- AhnLab V3 : PUP/Win32.WindowsNAS (VT : 19/48)
C:\Program Files\MC Program\mcsync.exe
- MD5 : 80fd79d64f6fb0bcc98f0b9dd0893dd4
- nProtect : Adware/W32.KrAdword.184792 (VT : 19/47)
C:\Program Files\MC Program\mctas.dll
- MD5 : f3ffc92e040fa45b87b5ebdf0dfe9614
- AhnLab V3 : PUP/Win32.HubHelper (VT : 15/48)
"DivineMedia Inc." 디지털 서명이 포함된 매직케어(MagicCare) 프로그램은 "C:\Program Files\MC Program" 폴더에 파일을 생성하며, 유해 사이트 차단 기능을 사용하기 위해서는 사용자가 "C:\Program Files\MC Program\mcconfig.exe" 파일을 찾아서 직접 실행한 경우에만 다음과 같은 설정창을 확인할 수 있습니다.
이로 인하여 프로그램 목록에 표시되지 않는 매직케어(MagicCare) 프로그램의 설치 여부를 사용자는 확인하기 어려우므로, 실질적인 프로그램 배포 목적은 유해 사이트 차단 기능보다는 프로그램 설치로 인하여 필수적으로 포함된 광고 기능을 통해 수익 창출이 목적인 것으로 판단되고 있습니다.
1. "MC Program(Version 3.0)" 서비스 등록
해당 프로그램은 "MC Program(Version 3.0)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\MC Program\mcsvr.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(mcsvr.exe)은 "C:\Program Files\MC Program\mcse.exe" 파일을 로딩하여 특정 서버로부터 다음과 같은 정보를 체크합니다.
- h**p://magic****.net/ver3/app/program/vsdata.dat :: 프로그램 버전 체크
- h**p://magic****.net/ver3/app/program/ipmsdt3.html :: 이용약관 체크
그 후 실행된 mcse.exe 파일은 "C:\Program Files\MC Program\mcsctr.exe" 파일을 추가 로딩을 한 후 자신은 종료 처리됩니다.
실행된 mcsctr.exe 파일은 자식 프로세스로 다음과 같은 2개의 파일을 실행하여 메모리에 상주시킵니다.
- "C:\Program Files\MC Program\mcsync.exe" -i golf golf01
- C:\Program Files\MC Program\mcsopt.exe
참고로 실행된 mcsync.exe 프로세스는 주기적으로 특정 광고 서버에 연결을 시도하는 동작이 이루어지고 있습니다.
이를 통해 정상적으로 프로그램이 동작한다면 mcsvr.exe 서비스 파일 외에 mcsctr.exe, mcsync.exe, mcsopt.exe 프로세스가 메모리에 상주하는 것을 확인할 수 있습니다.
2. "C:\Program Files\MC Program\mcsctr.exe" 파일 기능
사용자가 인터넷 검색을 통해 제시된 검색 결과를 클릭하여 웹 사이트로 접속하는 과정에서 전체 화면 크기의 광고창이 "C:\Program Files\MC Program\mcsctr.exe" 파일을 통해 자동 생성될 수 있습니다.
해당 광고창은 "cl.ncclick.co.kr" 제휴 코드가 포함된 형태로 연결이 이루어지는 것을 확인할 수 있습니다.
3. "C:\Program Files\MC Program\mcsopt.exe" 파일 기능
메모리에 상주하는 "God of Advertising Co.,Ltd" 디지털 서명이 포함된 "C:\Program Files\MC Program\mcsopt.exe" 프로세스(MD5 : 66325fcfaec471c90b590db4ab37270c)는 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 추가적인 광고창을 생성할 수 있습니다.
해당 광고창은 오픈팟(OpenPot) 관련 광고 서버로 추정되는 "ad.openpot.kr" 서버를 경유하여 오픈되는 것을 확인할 수 있습니다.
4. 제어판에 표시되지 않는 "MC Program" 문제(※ 해당 문제는 배포자의 의도에 따라 언제든지 변경될 수 있습니다.)
매직케어(MagicCare) 프로그램이 설치된 일부 환경에서는 제어판의 프로그램 목록에 "MC Program"이 등록되지 않는 문제가 발생할 수 있습니다.(※ 네이버 지식인의 질문 중에서는 제어판의 삭제 목록에 "MC Program" 또는 "MagicCare ver 3.0"이 포함된 경우도 발견할 수 있으며, 설치 파일에 따라 달라질 수 있는 것 같습니다.)
특히 흥미로운 점은 제어판에 등록되는 "MC Program" 삭제 항목 관련 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MagiccareVer3_is1)의 "UninstallString" 값이 공란(Blank)로 등록되어 있다는 점입니다.
이는 제어판에 "MC Program"이 표시되어 있다고 하여도 프로그램 삭제를 시도할 경우에는 오류가 발생하여 프로그램 삭제 자체가 이루어지지 않도록 되어 있습니다.
더욱 웃긴 부분은 기존 매직케어(MagicCare) 프로그램의 사례를 통해 삭제 파일(C:\Program Files\MC Program\mcremv.exe)을 찾아 사용자가 직접 파일을 실행한 경우를 살펴보도록 하겠습니다.
"C:\Program Files\MC Program\mcremv.exe" 파일을 실행하면 삭제창을 생성하여 제시된 비밀번호(Password)를 참고하여 "Password Confirm" 공란에 입력한 후, "Uninstall Agreement" 체크 박스에 체크하여 삭제(Uninstall)를 진행하면 정상적으로 프로그램이 삭제되었다고 표시됩니다.
하지만 실제 프로그램 설치로 생성된 폴더, 파일, 레지스트리 값은 전혀 삭제가 이루어지지 않는 가짜 삭제 파일임을 확인할 수 있었습니다.
위와 같은 3가지 삭제 문제로 인하여 "MC Program"은 삭제를 지원하지 않는 형태로 설치되고 있는 것으로 파악되고 있으므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "MC Program(Version 3.0)"], [sc delete "MC Program(Version 3.0)"] 명령어를 순서대로 입력 및 실행하여 등록된 서비스 프로세스 종료 및 서비스 값을 자동 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 mcsctr.exe, mcsync.exe, mcsopt.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) "C:\Program Files\MC Program" 폴더 및 내부 파일을 모두 강제 삭제하시기 바랍니다.
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MagiccareVer3_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MC Program(Version 3.0) :: (a) 단계에서 자동 삭제 처리됩니다.
매직케어(MagicCare) 프로그램은 버전에 따라 다양한 프로그램 이름으로 설치가 이루어지고 있으며, 특정 설치 파일을 통해 설치된 경우 프로그램 삭제를 방해하는 것으로 파악되고 있으므로 주의하시기 바랍니다.
☞ 제휴(스폰서) 프로그램 : 안전지대(Safe Terra) (2011.6.17)
☞ 제휴(스폰서) 프로그램 : 그린오픈(GreenOpen) 2.0 (2012.2.27)
☞ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
☞ "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)
☞ iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)
☞ 악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31)
☞ 아이키퍼(IKeeper) 유해 사이트 차단 프로그램에 포함된 광고 주의 (2013.8.19)
☞ 세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 이용한 "Internet SKPDevice" 광고 기능 주의 (2013.12.18)