Switch to full style
Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Répondre

Le danger des cracks et keygen !

09 Sep 2006 13:18

Les cracks sont un vecteur de malwares et d'infections très important
En téléchargeant et en exécutant un crack, vous pouvez exposer votre ordinateur à une infection, surtout qu'en règle général, les antivirus ne détectent aucune infection, car les cracks sont packagés.
Parfois une simple visite d'un site de crack peut suffire à infecter votre ordinateur, en effet un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables (voir Scan de vulnérabilités)

Démonstration via des exploits

Introduction

Infection via des exploits sur des sites WEB
La machine est un Windows XP SP2 avec AUCUNE mise à jour exécutée depuis l'installation. La machine n'est donc pas à jour.
Au démarrage de l'ordinateur, aucun processus additif.
Ne sont exécutés sur la machine que quelques processus essentiels au fonctionnement de Windows.

Image

Etape 1

Je me rends sur un site de crack choisi presque au pif.
On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous prévient que le site vous propose de télécharger un fichier ou un ActiveX.

Si l'on regarde les processus à droite, de nouveaux processus sont apparus à savoir :
iedw.exe
newsploit.exe

Image

Conclusion : le site exploite une faille sur le navigateur afin de télécharger et surtout installer des programmes à l'insu de l'utilisateur.
Le téléchargerment et installation est quasi invisible hormis une fenêtre de téléchargement qui s'ouvre. L'utilisateur ne peut rien faire.

Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf
La faille bien connue WMF est exploitée :
Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
La faille WMF exploitée à grande vitesse

Cette vulnérabilité permet d'exécuter un fichier à l'insu de l'utilisateur.

On peut aussi constater de nouveaux processus sûrement ajoutés par l'exploitation de cette faille :
mtrlqdw.exe

On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.

Image

Etape 3

L'infection continue d'installer sur le système, des fenêtres noires s'ouvrent afin d'ajouter des services ou enregistrer de nouvelles .DLL
On peut aussi constater que la liste des processus non légitimes toujours dans la partie droite s'allonge :
boot.inx
z15.exe
a.exe
mwqlvo.exe
NvVid.exe
pigglet.exe
igtaxbtn.exe

Image

Conclusion

Au final, voici la liste des processus à droite, on peut constater que la liste a considérablement gonflé comparée à la liste des processus initiale (voir intro).
Dans la partie gauche, l'utilitaire msconfig permettant de visualiser les programmes au démarrage.
Tous les programmes cochés (pigglet, NvVid, cmd32) sont infectieux !
Hop... votre PC est un PC Zombi

Image


On voit ici tous les dangers des sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un site de crack, infecte son ordinateur même avec un antivirus à jour!
Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.

Les faux sites de crack

Voici une liste de faux sites de cracks - tous les cracks proposés sur ces sites sont identiques et infectieux.
Les auteurs des sites jouent sur les référencements (links, moteurs de recherche etc) et sont extremements bien représentés sur les moteurs de recherche ou depuis d'autres sites de cracks.
Les chances de tomber sur ces sites sont grandes.
Ces sites sont vecteurs en autre de l'infection Virut

Les sites suivants sont des sites vitrines... tous les cracks pointent vers la même adresse : hxxp://keyz-db.com/download/newcam/<nomducrack>.exe

Code:
keygen.name    A    85.142.1.66
cityonweb.com    A    85.142.1.66
http://www.cityonweb.com    A    85.142.1.66
indexie.com    A    85.142.1.66
http://www.indexie.com    A    85.142.1.66
seriall.com    A    85.142.1.66
http://www.seriall.com    A    85.142.1.66
serialsam.com    A    85.142.1.66
http://www.serialsam.com    A    85.142.1.66
asta-killer.com    A    85.142.1.66
http://www.asta-killer.com    A    85.142.1.66
astakiller.com    A    85.142.1.66
getcracks.com    A    85.142.1.66
http://www.getcracks.com    A    85.142.1.66
theserials.com    A    85.142.1.66
http://www.theserials.com    A    85.142.1.66
wwww.theserials.com    A    85.142.1.66
http://www.serialslist.com    A    85.142.1.66
cracks4u.com    A    85.142.1.66
http://www.cracks4u.com    A    85.142.1.66
keygen.in    A    85.142.1.66
http://www.keygen.in    A    85.142.1.66
http://www.www.keygen.in    A    85.142.1.66
linkworld.us    A    85.142.1.66
http://www.linkworld.us    A    85.142.1.66
looker.us    A    85.142.1.66
http://www.looker.us    A    85.142.1.66
grep.ws    A    85.142.1.66
http://www.grep.ws    A    85.142.1.66
thekeys.ws    A    85.142.1.66
http://www.thekeys.ws    A    85.142.1.66
stick.spb.ru    A    85.142.1.66
mozel.spb.ru    A    85.142.1.66
scarlett.spb.ru    A    85.142.1.66
eho.msk.ru    A    85.142.1.66
ns2.avmgroup.ru    A    85.142.1.66
asta-killer.ru    A    85.142.1.66


Image

Image

Image

Image

Ils ont aussi leur "propre" moteur de recherche qui propose exclusivement leur site afin d'augmenter le référencement

Image

Image

Image

Image

Les sites ci-dessus construisent un crack casi identiques contenant les fichiers install.exe crack.exe ou serial.exe
si l'un de ces fichiers est exécuté, l'infection s'installe.

Code:
ns.findweblinks.com    A    91.195.110.99
ns.freeserials.ws    A    91.195.110.99
http://www.freeserials.ws    A    91.195.110.99
montezuma.spb.ru    A    91.195.110.99
ns.montezuma.spb.ru    A    91.195.110.99
freeserials.spb.ru    A    91.195.110.99
ns.freeserials.spb.ru    A    91.195.110.99


Image

La vidéo illustrative :


et aussi... dans le même genre l'infection VideoAccessCodec se propage par des cracks : videoaccesscodec-zlob-les-cracks-t4869.html#p33515

et ça marche....

Voir : http://www.malekal.com/2011/09/01/faux- ... core-bien/

Image


et les forums Warez

Les forums Warez sont floodés de faux posts de cracks qui cachent des RATs

Exemple avec le forum planete-lolo où les posts en cadre rouge renforment des droppers.

ou sur ce billet avec d'autres sites de Warez qui propagent des Rats : http://www.malekal.com/2013/04/12/darko ... r-shpv-fr/

Image

Image

Voir les sujets :

Image

PUP et PUP/Amonetize

En 2015, des sites de cracks sont encore utilisés, cette fois pour refiler des programmes parasites.
Soit des sites créés de toute pièces.
Soit des sites piratés pour faire héberger des pages de cracks/keygen.
Le but étant au final de faire lancer des setup de programmes parasites.

Le plus actif étant PUP/Amonetize

Exemple deux sites créés :
Image
Image

qui redirigent vers des pages de téléchargements de programmes parasites :
Image
Image

Plus d'informations en anglais sur la page : PUPs by Cracks/Keygen

via Youtube ou Dailymotion

En vidéo :


et sur P2P

Une vidéo sur les cracks par P2P avec le malware Bagle :


Le P2P est autre vecteur de cracks pourris... certaines infections tirent parti de ce réseau pour se propager...
Pour cela, c'est tout simple... vous téléchargez un crack pourri qui infecte votre ordinateur.
Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes téléchargent à leurs tours ces cracks pourris et ainsi de suite.
et bien d'autres mentionnés un peu partout sur ce site.


Conclusion :

Quand vous aurez compris que les cracks, c'est de la merde au lieu de vous demander quel antimachin vous protège le mieux, vous aurez fait un grand pas dans la sécurité

N'ouvrez jamais et ne consultez jamais des sites de cracks, si vous n'avez pas les connaissances requises pour éviter les infections

Quelques liens pour sécuriser votre ordinateur :
Maintenez votre ordinateur à jour : Mise à jour Windows et Maintenir ses logiciels à jour
Lisez ce tutorial : Pourquoi et comment je me fais infecter? ainsi que Comment les virus informatiques sont distribués.
Bien sûr la page suivante pour sécuriser son ordinateur : Sécuriser son ordinateur
Modifié en dernier par Malekal_morte le 04 Sep 2007 20:03, modifié 4 fois.

09 Sep 2006 13:34

Très bien de le dire, non seulement le crack n'est pas moral mais en plus, il peut "casser" votre machine
La moralité, je n'y croyais plus beaucoup, cet argument me parait plus convaincant PDT_001

09 Sep 2006 13:46

Les cracks sont malheureusement devenus une habitude...
Depuis qq temps, y a une recrudescence de trojan.spambot : http://www.malekal.com/Trojan_SpamBot.html

90% du temps, sur le scan ewido, on voit le crack à la source de l'infection :(

Re: Le danger des cracks !

04 Nov 2009 00:31

Ajout de blalba sur une liste de faux sites de cracks hyper connus vecteurs de malwares (en autre Virut) plus une vidéo en plus.
Répondre