Rechercher sur ce blogue

jeudi 9 octobre 2014

Le danger des cracks et keygen


Les cracks sont un vecteur de malwares et d'infections très important
En téléchargeant et en exécutant un crack, vous pouvez exposer votre ordinateur à une infection, surtout qu'en règle général, les antivirus ne détectent aucune infection, car les cracks sont packagés.
Parfois une simple visite d'un site de crack peut suffire à infecter votre ordinateur, en effet un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables (voir Scan de vulnérabilités)

Démonstration via des exploits

Introduction

Infection via des exploits sur des sites WEB
La machine est un Windows XP SP2 avec AUCUNE mise à jour exécutée depuis l'installation. La machine n'est donc pas à jour.
Au démarrage de l'ordinateur, aucun processus additif.
Ne sont exécutés sur la machine que quelques processus essentiels au fonctionnement de Windows.

Image

Etape 1

Je me rends sur un site de crack choisi presque au pif.
On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous prévient que le site vous propose de télécharger un fichier ou un ActiveX.

Si l'on regarde les processus à droite, de nouveaux processus sont apparus à savoir :
iedw.exe
newsploit.exe

Image

Conclusion : le site exploite une faille sur le navigateur afin de télécharger et surtout installer des programmes à l'insu de l'utilisateur.
Le téléchargerment et installation est quasi invisible hormis une fenêtre de téléchargement qui s'ouvre. L'utilisateur ne peut rien faire.

Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf
La faille bien connue WMF est exploitée :
Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
La faille WMF exploitée à grande vitesse

Cette vulnérabilité permet d'exécuter un fichier à l'insu de l'utilisateur.

On peut aussi constater de nouveaux processus sûrement ajoutés par l'exploitation de cette faille :
mtrlqdw.exe

On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.

Image

Etape 3

L'infection continue d'installer sur le système, des fenêtres noires s'ouvrent afin d'ajouter des services ou enregistrer de nouvelles .DLL
On peut aussi constater que la liste des processus non légitimes toujours dans la partie droite s'allonge :
boot.inx
z15.exe
a.exe
mwqlvo.exe
NvVid.exe
pigglet.exe
igtaxbtn.exe

Image

Conclusion

Au final, voici la liste des processus à droite, on peut constater que la liste a considérablement gonflé comparée à la liste des processus initiale (voir intro).
Dans la partie gauche, l'utilitaire msconfig permettant de visualiser les programmes au démarrage.
Tous les programmes cochés (pigglet, NvVid, cmd32) sont infectieux !
Hop... votre PC est un PC Zombi

Image


On voit ici tous les dangers des sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un site de crack, infecte son ordinateur même avec un antivirus à jour!
Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.

Les faux sites de crack

Voici une liste de faux sites de cracks - tous les cracks proposés sur ces sites sont identiques et infectieux.
Les auteurs des sites jouent sur les référencements (links, moteurs de recherche etc) et sont extremements bien représentés sur les moteurs de recherche ou depuis d'autres sites de cracks.
Les chances de tomber sur ces sites sont grandes.
Ces sites sont vecteurs en autre de l'infection Virut

Les sites suivants sont des sites vitrines... tous les cracks pointent vers la même adresse : hxxp://keyz-db.com/download/newcam/.exe

Code: Tout sélectionner
keygen.name    A    85.142.1.66
cityonweb.com    A    85.142.1.66
http://www.cityonweb.com    A    85.142.1.66
indexie.com    A    85.142.1.66
http://www.indexie.com    A    85.142.1.66
seriall.com    A    85.142.1.66
http://www.seriall.com    A    85.142.1.66
serialsam.com    A    85.142.1.66
http://www.serialsam.com    A    85.142.1.66
asta-killer.com    A    85.142.1.66
http://www.asta-killer.com    A    85.142.1.66
astakiller.com    A    85.142.1.66
getcracks.com    A    85.142.1.66
http://www.getcracks.com    A    85.142.1.66
theserials.com    A    85.142.1.66
http://www.theserials.com    A    85.142.1.66
wwww.theserials.com    A    85.142.1.66
http://www.serialslist.com    A    85.142.1.66
cracks4u.com    A    85.142.1.66
http://www.cracks4u.com    A    85.142.1.66
keygen.in    A    85.142.1.66
http://www.keygen.in    A    85.142.1.66
http://www.www.keygen.in    A    85.142.1.66
linkworld.us    A    85.142.1.66
http://www.linkworld.us    A    85.142.1.66
looker.us    A    85.142.1.66
http://www.looker.us    A    85.142.1.66
grep.ws    A    85.142.1.66
http://www.grep.ws    A    85.142.1.66
thekeys.ws    A    85.142.1.66
http://www.thekeys.ws    A    85.142.1.66
stick.spb.ru    A    85.142.1.66
mozel.spb.ru    A    85.142.1.66
scarlett.spb.ru    A    85.142.1.66
eho.msk.ru    A    85.142.1.66
ns2.avmgroup.ru    A    85.142.1.66
asta-killer.ru    A    85.142.1.66


Image

Image

Image

Image

Ils ont aussi leur "propre" moteur de recherche qui propose exclusivement leur site afin d'augmenter le référencement

Image

Image

Image

Image

Les sites ci-dessus construisent un crack casi identiques contenant les fichiers install.exe crack.exe ou serial.exe
si l'un de ces fichiers est exécuté, l'infection s'installe.

Code: Tout sélectionner
ns.findweblinks.com    A    91.195.110.99
ns.freeserials.ws    A    91.195.110.99
http://www.freeserials.ws    A    91.195.110.99
montezuma.spb.ru    A    91.195.110.99
ns.montezuma.spb.ru    A    91.195.110.99
freeserials.spb.ru    A    91.195.110.99
ns.freeserials.spb.ru    A    91.195.110.99


Image

La vidéo illustrative :


et aussi... dans le même genre l'infection VideoAccessCodec se propage par des cracks : videoaccesscodec-zlob-les-cracks-t4869.html#p33515

et ça marche....

Voir : http://www.malekal.com/2011/09/01/faux- ... core-bien/

Image


et les forums Warez

Les forums Warez sont floodés de faux posts de cracks qui cachent des RATs

Exemple avec le forum planete-lolo où les posts en cadre rouge renforment des droppers.

ou sur ce billet avec d'autres sites de Warez qui propagent des Rats : http://www.malekal.com/2013/04/12/darko ... r-shpv-fr/

Image

Image

Voir les sujets :

Image


et sur P2P

Une vidéo sur les cracks par P2P avec le malware Bagle :


Le P2P est autre vecteur de cracks pourris... certaines infections tirent parti de ce réseau pour se propager...
Pour cela, c'est tout simple... vous téléchargez un crack pourri qui infecte votre ordinateur.
Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes téléchargent à leurs tours ces cracks pourris et ainsi de suite.
et bien d'autres mentionnés un peu partout sur ce site.


Conclusion :

Quand vous aurez compris que les cracks, c'est de la merde au lieu de vous demander quel antimachin vous protège le mieux, vous aurez fait un grand pas dans la sécurité

N'ouvrez jamais et ne consultez jamais des sites de cracks
Maintenez votre ordinateur à jour : http://www.malekal.com/updates_windows.html
Lisez ce tutorial : Pourquoi je me fais infecter?


Source.:

Aucun commentaire: