본문 바로가기

벌새::Analysis

매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MC Program" 광고 주의 (2013.12.28)

반응형

매직케어(MagicCare) 유해 사이트 차단 프로그램 설치를 통해 필수적으로 포함되는 광고 기능을 통해 인터넷 검색시 광고창이 생성되며, 사용자에 의한 프로그램 삭제를 방해하는 것으로 확인되고 있는 "MC Program" 프로그램<MD5 : b4a546393deaec59ef640a2b67a7fc78 - AhnLab V3 : PUP/Win32.WindowsNAS (VT : 11/48)>에 대해 살펴보도록 하겠습니다.

 

  매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MGCS System" 광고 주의 (2013.10.27)

 

  매직케어(MagicCare) 설치로 인한 "MG Internet Platform(License Version 2.0)" 광고 주의 (2013.10.29)

 

특히 매직케어(MagicCare) 유해 사이트 차단 프로그램은 버전별로 다양한 프로그램 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

해당 프로그램은 다양한 유포 경로를 통해 배포 파일이 실행되면 특정 서버로부터 매직케어(MagicCare) 설치 파일<MD5 : fad58ecad99b9bbadc2adfcf1667fcba - Symantec : Trojan.ADH.2 (VT : 8/48)>을 다운로드하여 "C:\Program Files\MC Program\MagiccareVer3Setup.exe" 파일로 생성되어 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\MC Program
C:\Program Files\MC Program\ipmvdt3.dat
C:\Program Files\MC Program\MagiccareVer3Setup.exe
C:\Program Files\MC Program\mccheck.dll
C:\Program Files\MC Program\mcconfig.exe :: 매직케어(MagicCare) 프로그램 설정 파일
C:\Program Files\MC Program\mcdata.dt
C:\Program Files\MC Program\mcdatax.dt
C:\Program Files\MC Program\mcremv.exe :: 프로그램 삭제 파일
C:\Program Files\MC Program\mcsctr.exe :: 메모리 상주 프로세스
C:\Program Files\MC Program\mcse.exe
C:\Program Files\MC Program\mcsopt.exe :: 메모리 상주 프로세스
C:\Program Files\MC Program\mcstate.exe
C:\Program Files\MC Program\mcsvr.exe :: 서비스(MC Program(Version 3.0)) 등록 파일, 메모리 상주 프로세스
C:\Program Files\MC Program\mcsync.exe :: 메모리 상주 프로세스
C:\Program Files\MC Program\mctas.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\MC Program\MagiccareVer3Setup.exe
 - MD5 : fad58ecad99b9bbadc2adfcf1667fcba
 - Symantec : Trojan.ADH.2 (VT : 8/48)

 

C:\Program Files\MC Program\mccheck.dll
 - MD5 : fa7556bd1bbda6cfde6d49a0ba674d52
 - nProtect : Adware/W32.Agent.100824 (VT : 2/48)

 

C:\Program Files\MC Program\mcse.exe
 - MD5 : 314e4b86f05f827cfc318ace3e9f7bd0
 - avast! : Win32:Adware-AZC [Adw] (VT : 7/48)

 

C:\Program Files\MC Program\mcsvr.exe
 - MD5 : b3408ac4dce87ecfec459a63653333a5
 - AhnLab V3 : PUP/Win32.WindowsNAS (VT : 19/48)

 

C:\Program Files\MC Program\mcsync.exe
 - MD5 : 80fd79d64f6fb0bcc98f0b9dd0893dd4
 - nProtect : Adware/W32.KrAdword.184792 (VT : 19/47)

 

C:\Program Files\MC Program\mctas.dll
 - MD5 : f3ffc92e040fa45b87b5ebdf0dfe9614
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 15/48)

"DivineMedia Inc." 디지털 서명이 포함된 매직케어(MagicCare) 프로그램은 "C:\Program Files\MC Program" 폴더에 파일을 생성하며, 유해 사이트 차단 기능을 사용하기 위해서는 사용자가 "C:\Program Files\MC Program\mcconfig.exe" 파일을 찾아서 직접 실행한 경우에만 다음과 같은 설정창을 확인할 수 있습니다.

이로 인하여 프로그램 목록에 표시되지 않는 매직케어(MagicCare) 프로그램의 설치 여부를 사용자는 확인하기 어려우므로, 실질적인 프로그램 배포 목적은 유해 사이트 차단 기능보다는 프로그램 설치로 인하여 필수적으로 포함된 광고 기능을 통해 수익 창출이 목적인 것으로 판단되고 있습니다.

 

1. "MC Program(Version 3.0)" 서비스 등록

해당 프로그램은 "MC Program(Version 3.0)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\MC Program\mcsvr.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(mcsvr.exe)은 "C:\Program Files\MC Program\mcse.exe" 파일을 로딩하여 특정 서버로부터 다음과 같은 정보를 체크합니다.

  • h**p://magic****.net/ver3/app/program/vsdata.dat :: 프로그램 버전 체크
  • h**p://magic****.net/ver3/app/program/ipmsdt3.html :: 이용약관 체크

그 후 실행된 mcse.exe 파일은 "C:\Program Files\MC Program\mcsctr.exe" 파일을 추가 로딩을 한 후 자신은 종료 처리됩니다.

 

실행된 mcsctr.exe 파일은 자식 프로세스로 다음과 같은 2개의 파일을 실행하여 메모리에 상주시킵니다.

  • "C:\Program Files\MC Program\mcsync.exe" -i golf golf01
  • C:\Program Files\MC Program\mcsopt.exe

참고로 실행된 mcsync.exe 프로세스는 주기적으로 특정 광고 서버에 연결을 시도하는 동작이 이루어지고 있습니다.

이를 통해 정상적으로 프로그램이 동작한다면 mcsvr.exe 서비스 파일 외에 mcsctr.exe, mcsync.exe, mcsopt.exe 프로세스가 메모리에 상주하는 것을 확인할 수 있습니다.

 

2. "C:\Program Files\MC Program\mcsctr.exe" 파일 기능

사용자가 인터넷 검색을 통해 제시된 검색 결과를 클릭하여 웹 사이트로 접속하는 과정에서 전체 화면 크기의 광고창이 "C:\Program Files\MC Program\mcsctr.exe" 파일을 통해 자동 생성될 수 있습니다.

해당 광고창은 "cl.ncclick.co.kr" 제휴 코드가 포함된 형태로 연결이 이루어지는 것을 확인할 수 있습니다.

 

3. "C:\Program Files\MC Program\mcsopt.exe" 파일 기능

메모리에 상주하는 "God of Advertising Co.,Ltd" 디지털 서명이 포함된 "C:\Program Files\MC Program\mcsopt.exe" 프로세스(MD5 : 66325fcfaec471c90b590db4ab37270c)는 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 추가적인 광고창을 생성할 수 있습니다.

 

해당 광고창은 오픈팟(OpenPot) 관련 광고 서버로 추정되는 "ad.openpot.kr" 서버를 경유하여 오픈되는 것을 확인할 수 있습니다.

 

4. 제어판에 표시되지 않는 "MC Program" 문제(※ 해당 문제는 배포자의 의도에 따라 언제든지 변경될 수 있습니다.)

매직케어(MagicCare) 프로그램이 설치된 일부 환경에서는 제어판의 프로그램 목록에 "MC Program"이 등록되지 않는 문제가 발생할 수 있습니다.(※ 네이버 지식인의 질문 중에서는 제어판의 삭제 목록에 "MC Program" 또는 "MagicCare ver 3.0"이 포함된 경우도 발견할 수 있으며, 설치 파일에 따라 달라질 수 있는 것 같습니다.) 슬퍼2

특히 흥미로운 점은 제어판에 등록되는 "MC Program" 삭제 항목 관련 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MagiccareVer3_is1)의 "UninstallString" 값이 공란(Blank)로 등록되어 있다는 점입니다.

 

이는 제어판에 "MC Program"이 표시되어 있다고 하여도 프로그램 삭제를 시도할 경우에는 오류가 발생하여 프로그램 삭제 자체가 이루어지지 않도록 되어 있습니다. 안습

 

더욱 웃긴 부분은 기존 매직케어(MagicCare) 프로그램의 사례를 통해 삭제 파일(C:\Program Files\MC Program\mcremv.exe)을 찾아 사용자가 직접 파일을 실행한 경우를 살펴보도록 하겠습니다.

"C:\Program Files\MC Program\mcremv.exe" 파일을 실행하면 삭제창을 생성하여 제시된 비밀번호(Password)를 참고하여 "Password Confirm" 공란에 입력한 후, "Uninstall Agreement" 체크 박스에 체크하여 삭제(Uninstall)를 진행하면 정상적으로 프로그램이 삭제되었다고 표시됩니다.

 

하지만 실제 프로그램 설치로 생성된 폴더, 파일, 레지스트리 값은 전혀 삭제가 이루어지지 않는 가짜 삭제 파일임을 확인할 수 있었습니다. 엉엉

 

위와 같은 3가지 삭제 문제로 인하여 "MC Program"은 삭제를 지원하지 않는 형태로 설치되고 있는 것으로 파악되고 있으므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "MC Program(Version 3.0)"], [sc delete "MC Program(Version 3.0)"] 명령어를 순서대로 입력 및 실행하여 등록된 서비스 프로세스 종료 및 서비스 값을 자동 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 mcsctr.exe, mcsync.exe, mcsopt.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) "C:\Program Files\MC Program" 폴더 및 내부 파일을 모두 강제 삭제하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\MC Program
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MagiccareVer3_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MC Program(Version 3.0) :: (a) 단계에서 자동 삭제 처리됩니다.

 

매직케어(MagicCare) 프로그램은 버전에 따라 다양한 프로그램 이름으로 설치가 이루어지고 있으며, 특정 설치 파일을 통해 설치된 경우 프로그램 삭제를 방해하는 것으로 파악되고 있으므로 주의하시기 바랍니다.

 

 
728x90
반응형
  • 이전 댓글 더보기
  • - 울지않는벌새 블로그 안내 -

    프로그램 삭제 단계 중 (a)에서 sc stop "MC Program(Version 3.0)" 명령어를 입력하여 실행시 "[SC] ControlService FAILED 1062:" 같은 오류 메시지가 나오는 이유는 MC Program이 생성한 서비스 파일(mcsvr.exe)이 설치되는 과정에서 백신 프로그램에서 악성 파일로 진단하여 설치되지 않은 경우로 확인되고 있습니다.

    그러므로 해당 오류가 나오는 경우에는 (a)단계는 무시하시기 바랍니다.

  • 굿 2014.01.16 13:19 댓글주소 수정/삭제 댓글쓰기

    유용한 정보 감사합니다~
    설마 다시 생기지는 않겠지

  • ㅠㅠ 2014.01.17 22:25 댓글주소 수정/삭제 댓글쓰기

    강제삭제가 안되요 다른프로그램에서 이용중이래요 ㅠㅠ

  • ㅠㅠ 2014.01.17 22:49 댓글주소 수정/삭제 댓글쓰기

    딱 a,d만 안되네요?

    • 최근에 설치된 경우에는 제어판을 통해 삭제가 이루어지는 것으로 보이므로 제어판에서 삭제를 진행해 보시기 바랍니다.

      또한 프로세스를 종료한 후 삭제를 하실 때에는 웹 브라우저 등 모든 프로그램을 종료하시거나 안전 모드(F8)에서 삭제하시기 바랍니다.

      또한 서비스 삭제가 안된다는 것은 질문으로 봐서는 어떤 상황인지 모르겠습니다.

  • ㅠㅠ 2014.01.17 22:52 댓글주소 수정/삭제 댓글쓰기

    제어판에서는프로그램이 없다 하고요 레지스토리만 삭제가 안되네요 우클릭을 하는데 삭제 뺴고 다른건 할수 있는요 예) 확장

    • C:\Program Files\MC Program 폴더 및 내부 파일은 모두 삭제되었는지 확인하시기 바랍니다. 만약 삭제되지 않은 상태라면 삭제하시고 윈도우 재부팅 후 레지스트리 값을 삭제해 보시기 바랍니다.

  • ㅠㅠ 2014.01.17 22:58 댓글주소 수정/삭제 댓글쓰기

    imc라는 레지스토리에있는프로그램도 삭제할까요?

  • ㅠㅠ 2014.01.17 23:02 댓글주소 수정/삭제 댓글쓰기

    ㄳ염

  • ㅠㅠ 2014.01.18 23:33 댓글주소 수정/삭제 댓글쓰기

    ㅈㅅ한데 혹시 크롬 페이지 응답없음 해결방법 아시나요?

    • 해당 메시지만으로는 어떤 문제로 인한 것이지 전혀 알 수 없습니다.

      가장 빠른 해결책으로는 제어판에서 크롬을 삭제한 후 재설치를 해보시기 바랍니다.

  • ㅇㅇ 2014.01.26 10:45 댓글주소 수정/삭제 댓글쓰기

    현재 지우는 과정인데여 윗분말대로 a,d가 안되구요 sc stop "MC Program(Version 3.0)" 치면 실패1062 서비스 시작되지 않았다구 뜹니다
    그리구 d번도 아무것도 없네여

    현재 증상이 mc program 받기 전과 후를 비교해보면 인터넷창이 뜨고 10초간 멈추는 현상이 있는데 해결방법 좀 알려주시믄 안댈까여 ㅠㅠ
    고생이 많으십니다 부탁드립니다

    • 해당 문제는 MC Program의 일부 파일이 설치 중 또는 설치된 이후 백신 프로그램을 통해 삭제 처리가 되었기 때문에 발생합니다. 그러므로 오류나는 부분은 무시하시고 진행하여 폴더, 레지스트리 값을 삭제하시기 바랍니다.

  • ㅇㅇ 2014.01.26 13:31 댓글주소 수정/삭제 댓글쓰기

    답변 감사합니다

    폴더 레지스트리 다지웟는데도 인터넷이 느리게 켜지네여
    크롬을 켤경우에는 정상적으로 작동하구여

  • 안녕하세요 2014.01.26 14:29 댓글주소 수정/삭제 댓글쓰기

    네^^감사합니다^^
    선생님 말씀대로 파일 찾아서 삭제하고 고클린으로 mc관련 서비스 다 중지시키고 했는데 명령 프롬프트로 하는 게 실패라고 뜨더라구요...
    그리고 막 mc프로그램이 깔리는 과정에서 V3가 악성코드가 들어왔다고 차단시켰어요.
    그래서 V3 검역소 가서 봤더니 MC Program이 있더라구요...
    그러면 다 삭제된 것 맞을까요...??ㅠㅠ
    아ㅠㅠㅠ정말 슬프네요ㅠㅠㅠ
    백신 프로그램 돌려도 바이러스는 없대요ㅠㅠㅠ
    정확한 답변 부탁드립니다ㅠ

  • 안녕하세요 2014.01.26 14:38 댓글주소 수정/삭제 댓글쓰기

    그리고 레지스트리도 삭제가 안되요ㅠㅠㅠ
    H 어쩌구 그게 5개 있어서 우클릭 했는데 삭제칸을 못누르게 되어있어요...
    근데 데이터부분에 (값 설정 안됨)이라고 되어있네요...
    뭐가 어떻게 되는지 모르겠어요ㅠ
    제발 답변 좀 해주세요ㅠㅠㅠ

  • 그리피스 2014.01.27 17:37 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다^^

  • 지우긴 지웠는데 2014.01.28 22:07 댓글주소 수정/삭제 댓글쓰기

    지웠는데 여전히 시작프로그램에는 mcse가 떡하니 있네요... 맨처음 stop에서 실패 1060이 되긴 했는데 나머지는 다 그대로 적용했거든요.. 이걸 그냥 시작프로그램 제외하면 되는걸까요?

    • 아마 Windows XP 사용자 같으신데 시작 프로그램에 등록된 부분은 레지스트리 값에서 Run 항목에 등록된 붉은색 값을 삭제하셔야 제거가 됩니다.

  • 지우긴 지웠는데 2014.01.28 22:12 댓글주소 수정/삭제 댓글쓰기

    시작프로그램으로 떠서 위치를 보니 지워서 없는 위치네요... 일단 제외시켜야겠습니다 근데 엄청 찝찝하내요

  • 지우긴 지웠는데 2014.01.28 22:19 댓글주소 수정/삭제 댓글쓰기

    컴퓨터를 키면 작업표시줄에 모래시계가 생겨서 꽤 기다려야 되더라구요 v3가 딱 켜지면 이제 괜찮아지긴하던데 이게다 mcse때문인건지.. 그 명령이랑 위치랑 다 없어야 되는데 떡하니 있으니 어이가없습니다

  • 지우긴 지웠는데 2014.01.28 22:52 댓글주소 수정/삭제 댓글쓰기

    런항목에 들어가도 기본갑이랑 cf어쩌고뿐인데 어떻게 해야 지울수가 있을까요?? v3로 레지스트리도 최적화해줘도 이모양이네요.

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      여기 2곳에서 찾아보시기 바라며, 체크 해제만 하셔도 특별히 문제는 없습니다. 그리고 파일만 삭제되어 있다면 레지스트리 값은 그냥 두셔도 문제없을 수도 있습니다.

  • 권뽕 2014.02.03 13:58 댓글주소 수정/삭제 댓글쓰기

    감사합니다.
    진심으로...

  • 씨발 2014.02.22 02:19 댓글주소 수정/삭제 댓글쓰기

    mc program 이거 만든씨발년아 니네 애미애비는 곱게 못뒤질거다 두고보자

  • 양웬리13 2014.03.22 22:23 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다.
    진짜 복받으실거에요