Le danger des cracks et keygen !

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.

Le danger des cracks et keygen !

Messagepar Malekal_morte » 09 Sep 2006 13:18

Les cracks sont un vecteur de malwares et d'infections très important. En téléchargeant et en exécutant un crack, vous pouvez exposer votre Windows à une infection, surtout qu'en règle général, les antivirus ne détectent rarement les cracks infectés. Parfois une simple visite sur un site de cracks peut suffire à infecter votre Windows. Un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables (voir Scan de vulnérabilités)

Démonstration via des exploits

Introduction

Infection via des exploits sur des sites WEB. La machine est un Windows XP SP2 avec AUCUNE mise à jour exécutée depuis l'installation. La machine n'est donc pas à jour. Au démarrage de Windows, aucun processus additif. Ne sont exécutés sur la machine que quelques processus essentiels au fonctionnement de Windows.

Image

Etape 1

Je me rends sur un site de crack choisi presque au pif. On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous prévient que le site vous propose de télécharger un fichier ou un ActiveX.

Si l'on regarde les processus à droite, de nouveaux processus ( iedw.exe et newsploit.exe ) sont apparus.

Image

Conclusion : le site exploite une faille sur le navigateur afin de télécharger et installer sur Windows des programmes à l'insu de l'utilisateur. Le téléchargement et l'installation est quasiment invisible hormis une fenêtre qui s'ouvre et se referme. L'utilisateur ne peut rien faire pour contrer la menace.

Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf La faille bien connue WMF est exploitée ( Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability | Microsoft Windows WMF Handling Remote Code Execution Vulnerability | La faille WMF exploitée à grande vitesse )

Cette vulnérabilité permet d'exécuter du code à l'insu de l'utilisateur. On peut aussi constater de nouveaux processus sûrement ajoutés par l'exploitation de cette faille. On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.

Image

Etape 3

L'infection continue d'installer sur le système Windows, des fenêtres noires s'ouvrent afin d'ajouter des services ou enregistrer de nouvelles bibliothèques ( .dll ). On peut aussi voir que la liste des processus non légitimes toujours dans la partie droite s'allonge : boot.inx, z15.exe, a.exe, mwqlvo.exe, NvVid.exe, pigglet.exe, igtaxbtn.exe, ...

Image

Conclusion

La liste des processus située à droite démontre qu'un grand nombre de maliciels sont à l'œuvre sur le Windows infecté. Dans la partie gauche, l'utilitaire msconfig affiche les programmes au démarrage de Windows. Tous les programmes cochés (pigglet, NvVid, cmd32,..) sont infectieux. En un rien de temps votre Windows est devenu un zombi !

Image

On voit ici tous les dangers des faux sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un faux site de cracks, infecte son Windows même avec un antivirus à jour. Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.

Les faux sites de crack

Voici une liste de faux sites de cracks - tous les cracks proposés sur ces sites sont identiques et infectieux. Les auteurs des sites jouent sur les référencements des moteurs de recherche, .. et sont extrêmement bien positionnés ( ils payent Google pour ça ) dans les classements des moteurs de recherche ou depuis d'autres sites de cracks. Les chances de tomber sur ces sites sont énormes. Le triste et célèbre Virut est diffusé via des cracks infectés.

Les sites suivants sont des sites vitrines.
Tous les cracks pointent vers la même adresse :
- hxxp://keyz-db.com/download/newcam/<nomducrack>.exe

Code: Tout sélectionner
keygen.name    A    85.142.1.66
cityonweb.com    A    85.142.1.66
http://www.cityonweb.com    A    85.142.1.66
indexie.com    A    85.142.1.66
http://www.indexie.com    A    85.142.1.66
seriall.com    A    85.142.1.66
http://www.seriall.com    A    85.142.1.66
serialsam.com    A    85.142.1.66
http://www.serialsam.com    A    85.142.1.66
asta-killer.com    A    85.142.1.66
http://www.asta-killer.com    A    85.142.1.66
astakiller.com    A    85.142.1.66
getcracks.com    A    85.142.1.66
http://www.getcracks.com    A    85.142.1.66
theserials.com    A    85.142.1.66
http://www.theserials.com    A    85.142.1.66
wwww.theserials.com    A    85.142.1.66
http://www.serialslist.com    A    85.142.1.66
cracks4u.com    A    85.142.1.66
http://www.cracks4u.com    A    85.142.1.66
keygen.in    A    85.142.1.66
http://www.keygen.in    A    85.142.1.66
http://www.www.keygen.in    A    85.142.1.66
linkworld.us    A    85.142.1.66
http://www.linkworld.us    A    85.142.1.66
looker.us    A    85.142.1.66
http://www.looker.us    A    85.142.1.66
grep.ws    A    85.142.1.66
http://www.grep.ws    A    85.142.1.66
thekeys.ws    A    85.142.1.66
http://www.thekeys.ws    A    85.142.1.66
stick.spb.ru    A    85.142.1.66
mozel.spb.ru    A    85.142.1.66
scarlett.spb.ru    A    85.142.1.66
eho.msk.ru    A    85.142.1.66
ns2.avmgroup.ru    A    85.142.1.66
asta-killer.ru    A    85.142.1.66

Image

Image

Image

Image

Ces sites possèdent leur propre moteur de recherches.

Image

Image

Image

Image

Les sites ci-dessus construisent un crack quasiment identique. Les fichiers install.exe crack.exe ou serial.exe sont simplement ajoutés aux cracks légitimes. Si l'un de ces fichiers est exécuté alors Windows sera infecté.

Code: Tout sélectionner
ns.findweblinks.com    A    91.195.110.99
ns.freeserials.ws    A    91.195.110.99
http://www.freeserials.ws    A    91.195.110.99
montezuma.spb.ru    A    91.195.110.99
ns.montezuma.spb.ru    A    91.195.110.99
freeserials.spb.ru    A    91.195.110.99
ns.freeserials.spb.ru    A    91.195.110.99

Image

La vidéo illustrative :


Et ça fonctionne....

Image

Et le warez dans tout ça ?

Les forums warez sont floodés de faux sujets de cracks qui cachent des trojans ou des RATs.

Le forum planete-lolo où les sujets en cadre rouge renferment des maliciels.

Image

Image

Voir les sujets :

Image

PUP et PUP/Amonetize

En 2015, ces sites de cracks sont encore utilisés mais cette fois c'est pour refiler des programmes parasites. Soit des sites créés de toute pièces. Soit des sites piratés pour faire héberger des pages de faux cracks/keygen. Le plus actif étant PUP/Amonetize

Exemple deux sites créés :
Image
Image

qui redirigent vers des pages de téléchargements de programmes parasites :
Image
Image

Plus d'informations en anglais sur la page : PUPs by Cracks/Keygen

YouTube / Dailymotion

En vidéo :


Et sur le P2P ?

Une vidéo sur les cracks par P2P avec le malware Bagle :


Le P2P est un autre vecteur de cracks pourris... certaines infections tirent parti de ce réseau pour se propager... Pour cela, c'est tout simple... vous téléchargez un crack pourri qui infecte votre Windows. Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes téléchargent à leurs tours ces cracks pourris et ainsi de suite.

et bien d'autres mentionnés un peu partout sur ce site.

Conclusion :

N'ouvrez jamais et ne consultez pas de sites de cracks si vous n'avez pas les connaissances requises pour éviter les infections

Quelques liens pour Sécuriser son Windows :
- Maintenez votre Windows à jour : Mise à jour Windows et Maintenir ses logiciels à jour. Lisez ce tutoriel : Pourquoi et comment je me fais infecter? ainsi que Comment les virus informatiques sont distribués.
Modifié en dernier par Malekal_morte le 04 Sep 2007 20:03, modifié 4 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82240
Enregistré le: 10 Sep 2005 13:57

Messagepar belver » 09 Sep 2006 13:34

Très bien de le dire, non seulement le crack n'est pas moral mais en plus, il peut "casser" Windows.
La moralité, je n'y croyais plus beaucoup, cet argument me parait plus convaincant PDT_001

Avatar de l’utilisateur
belver
Amateur
Amateur
 
Messages: 140
Enregistré le: 19 Aoû 2006 20:13
Localisation: Nantes

Messagepar Malekal_morte » 09 Sep 2006 13:46

Les cracks sont malheureusement devenus une habitude...
Depuis qq temps, y a une recrudescence de trojan.spambot : http://www.malekal.com/Trojan_SpamBot.html

90% du temps, sur le scan ewido, on voit le crack à la source de l'infection :(
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82240
Enregistré le: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Retourner vers Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités

Tutoriel Gestionnaire de tâches
Partenaires du site : supprimer-virus.com - stopvirus.fr - www.malekal.com - stoppublicites.fr - Geekeden