본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : 패스트링크(FastLink)

728x90
반응형

온라인 게임 회원 가입 또는 본인 인증 절차시 외부 광고 프로그램으로 인하여 "휴대폰번호 도용방지 서비스" 창이 생성되는 패스트링크(FastLink) 프로그램(MD5 : f127f6a8cc1c20360546742e2b46dde8)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\FastLink
C:\Documents and Settings\(사용자 계정)\Application Data\FastLink\FastLink.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\FastLink\FastLinkAgent.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\FastLink\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\FastPing
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\FastPing\FastLink Uninstall.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\FastPing\FastLink.lnk

패스트핑(FastPing) 프로그램의 제휴(스폰서) 프로그램으로 설치되는 것으로 보이는 패스트링크(FastLink) 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\FastLink" 폴더에 파일을 생성하며, Windows 시작시 FastLinkAgent.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • h**p://www.ga**pi**.co.kr/app/fastlink/download/fastlink_update.exe (MD5 : b029de5bac8c204ff6bd27377dc451cd) - AhnLab V3 : Win-PUP/Helper.FastLink.694920 (VirusTotal : 2/45)

자동 실행된 FastLinkAgent.exe 파일은 특정 서버에서 업데이트를 체크하여 fastlink_update.exe 파일을 다운로드하며, "C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\fastlink_update.exe" 파일로 생성된 파일은 프로그램 업데이트를 진행한 후 자가 삭제 처리됩니다.

또한 "휴대폰번호 도용방지 서비스" 창을 생성하는데 필요한 광고 구성값을 체크하는 부분을 확인할 수 있습니다.

 

패스트링크(FastLink) 프로그램이 설치된 환경에서 이루어질 수 있는 광고 동작은 크게 2가지로 살펴볼 수 있습니다.

 

(1) 온라인 게임 회원 가입시 사례

예를 들어 한게임(Hangame) 웹 사이트에 접속하여 회원 가입 페이지로 접속을 하게되면 "휴대폰번호 도용방지 서비스" 창이 추가적으로 생성됩니다.

 

사용자는 해당 창을 한게임에서 제공하는 정상적인 보안 관련 서비스로 판단하여 서비스를 이용할 수 있습니다.

하지만 "휴대폰번호 도용방지 서비스" 창이 생성되는 URL 값을 확인해보면, 패스트링크(FastLink) 프로그램에서 제공하는 특정 웹 페이지를 경유해서 구현되는 것을 확인할 수 있습니다.

 

(2) 본인 인증 절차시 사례

또 다른 사례로 LOL(League of Legends) 온라인 게임을 이용하여 위해 회원 가입을 하는 과정에서 거쳐야 하는 본인 인증 페이지에서 사용자가 "확인" 버튼을 클릭할 경우의 사례입니다.

이 과정에서 LOL에서는 본인인증을 위해 Siren24에서 제공하는 "본인 확인 서비스" 창을 생성하며, 패스트링크(FastLink) 프로그램은 추가적으로 "휴대폰번호 도용방지 서비스" 창을 생성합니다.

 

이 경우에도 사용자는 Siren24 또는 LOL에서 제공하는 보안 서비스로 착각하여 서비스에 가입할 수 있습니다.

실제 프로세스에서 확인해보면 "휴대폰번호 도용방지 서비스" 창 생성은 FastLink.exe 프로세스를 통해 추가된 iexplore.exe 프로세스가 "****side.co.kr/phonesafe.html" 페이지에서 정보를 불러와 동작하는 것을 확인할 수 있습니다.

 

그러므로 해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 FastLink.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "패스트링크" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\FastLink
HKEY_CURRENT_USER\Software\FastPing
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - FastLinkAgent = C:\Documents and Settings\(사용자 계정)\Application Data\FastLink\FastLinkAgent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FastLink

 

해당 프로그램은 "휴대폰번호 도용방지서비스" 광고창을 마치 온라인 게임 업체에서 제공하는 정상적인 서비스처럼 동작하게 하여 사용자가 오해할 수 있으며, 결제를 통해 매월 자동 연장 결제 서비스가 이루어질 수 있으므로 주의하시기 바랍니다.

728x90
반응형