En téléchargeant et en exécutant un crack, vous pouvez exposer votre ordinateur à une infection, surtout qu'en règle général, les antivirus ne détectent aucune infection, car les cracks sont packagés.
Parfois une simple visite d'un site de crack peut suffire à infecter votre ordinateur, en effet un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables (voir Scan de vulnérabilités)
Démonstration via des exploits
Introduction
Infection via des exploits sur des sites WEB
La machine est un Windows XP SP2 avec AUCUNE mise à jour exécutée depuis l'installation. La machine n'est donc pas à jour.
Au démarrage de l'ordinateur, aucun processus additif.
Ne sont exécutés sur la machine que quelques processus essentiels au fonctionnement de Windows.
Etape 1
Je me rends sur un site de crack choisi presque au pif.
On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous prévient que le site vous propose de télécharger un fichier ou un ActiveX.
Si l'on regarde les processus à droite, de nouveaux processus sont apparus à savoir :
iedw.exe
newsploit.exe
Conclusion : le site exploite une faille sur le navigateur afin de télécharger et surtout installer des programmes à l'insu de l'utilisateur.
Le téléchargerment et installation est quasi invisible hormis une fenêtre de téléchargement qui s'ouvre. L'utilisateur ne peut rien faire.
Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf
La faille bien connue WMF est exploitée :
Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
La faille WMF exploitée à grande vitesse
Cette vulnérabilité permet d'exécuter un fichier à l'insu de l'utilisateur.
On peut aussi constater de nouveaux processus sûrement ajoutés par l'exploitation de cette faille :
mtrlqdw.exe
On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.
Etape 3
L'infection continue d'installer sur le système, des fenêtres noires s'ouvrent afin d'ajouter des services ou enregistrer de nouvelles .DLL
On peut aussi constater que la liste des processus non légitimes toujours dans la partie droite s'allonge :
boot.inx
z15.exe
a.exe
mwqlvo.exe
NvVid.exe
pigglet.exe
igtaxbtn.exe
Conclusion
Au final, voici la liste des processus à droite, on peut constater que la liste a considérablement gonflé comparée à la liste des processus initiale (voir intro).
Dans la partie gauche, l'utilitaire msconfig permettant de visualiser les programmes au démarrage.
Tous les programmes cochés (pigglet, NvVid, cmd32) sont infectieux !
Hop... votre PC est un PC Zombi
On voit ici tous les dangers des sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un site de crack, infecte son ordinateur même avec un antivirus à jour!
Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.
Les faux sites de crack
Voici une liste de faux sites de cracks - tous les cracks proposés sur ces sites sont identiques et infectieux.
Les auteurs des sites jouent sur les référencements (links, moteurs de recherche etc) et sont extremements bien représentés sur les moteurs de recherche ou depuis d'autres sites de cracks.
Les chances de tomber sur ces sites sont grandes.
Ces sites sont vecteurs en autre de l'infection Virut
Les sites suivants sont des sites vitrines... tous les cracks pointent vers la même adresse : hxxp://keyz-db.com/download/newcam/<nomducrack>.exe
- Code: Tout sélectionner
keygen.name A 85.142.1.66
cityonweb.com A 85.142.1.66
http://www.cityonweb.com A 85.142.1.66
indexie.com A 85.142.1.66
http://www.indexie.com A 85.142.1.66
seriall.com A 85.142.1.66
http://www.seriall.com A 85.142.1.66
serialsam.com A 85.142.1.66
http://www.serialsam.com A 85.142.1.66
asta-killer.com A 85.142.1.66
http://www.asta-killer.com A 85.142.1.66
astakiller.com A 85.142.1.66
getcracks.com A 85.142.1.66
http://www.getcracks.com A 85.142.1.66
theserials.com A 85.142.1.66
http://www.theserials.com A 85.142.1.66
wwww.theserials.com A 85.142.1.66
http://www.serialslist.com A 85.142.1.66
cracks4u.com A 85.142.1.66
http://www.cracks4u.com A 85.142.1.66
keygen.in A 85.142.1.66
http://www.keygen.in A 85.142.1.66
http://www.www.keygen.in A 85.142.1.66
linkworld.us A 85.142.1.66
http://www.linkworld.us A 85.142.1.66
looker.us A 85.142.1.66
http://www.looker.us A 85.142.1.66
grep.ws A 85.142.1.66
http://www.grep.ws A 85.142.1.66
thekeys.ws A 85.142.1.66
http://www.thekeys.ws A 85.142.1.66
stick.spb.ru A 85.142.1.66
mozel.spb.ru A 85.142.1.66
scarlett.spb.ru A 85.142.1.66
eho.msk.ru A 85.142.1.66
ns2.avmgroup.ru A 85.142.1.66
asta-killer.ru A 85.142.1.66
Ils ont aussi leur "propre" moteur de recherche qui propose exclusivement leur site afin d'augmenter le référencement
Les sites ci-dessus construisent un crack casi identiques contenant les fichiers install.exe crack.exe ou serial.exe
si l'un de ces fichiers est exécuté, l'infection s'installe.
- Code: Tout sélectionner
ns.findweblinks.com A 91.195.110.99
ns.freeserials.ws A 91.195.110.99
http://www.freeserials.ws A 91.195.110.99
montezuma.spb.ru A 91.195.110.99
ns.montezuma.spb.ru A 91.195.110.99
freeserials.spb.ru A 91.195.110.99
ns.freeserials.spb.ru A 91.195.110.99
La vidéo illustrative :
et aussi... dans le même genre l'infection VideoAccessCodec se propage par des cracks : videoaccesscodec-zlob-les-cracks-t4869.html#p33515
et ça marche....
Voir : http://www.malekal.com/2011/09/01/faux- ... core-bien/
et les forums Warez
Les forums Warez sont floodés de faux posts de cracks qui cachent des RATs
Exemple avec le forum planete-lolo où les posts en cadre rouge renforment des droppers.
ou sur ce billet avec d'autres sites de Warez qui propagent des Rats : http://www.malekal.com/2013/04/12/darko ... r-shpv-fr/
Voir les sujets :
- planete-lolo : cracks et….. RATs
- Trojan-Dropper.Win32.Dapato chez Free via OVH
- Backdoor:Win32/Fynloski.A sur Orange via no-ip.org
et sur P2P
Une vidéo sur les cracks par P2P avec le malware Bagle :
Le P2P est autre vecteur de cracks pourris... certaines infections tirent parti de ce réseau pour se propager...
Pour cela, c'est tout simple... vous téléchargez un crack pourri qui infecte votre ordinateur.
Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes téléchargent à leurs tours ces cracks pourris et ainsi de suite.
- Security Toolbar : security-toolbar-mirar-toolbar-vundo-virtumonde-t6199.html
- Bagle : bagle-beagle-trojan-tooso-t4442.html
- Virut : virut-infection-fichiers-executables-t5177.html et en illustration : w32-virut-gen-antivir-detecte-dans-tpis-mes-exe-t19918.html#p161244
- TR/Proxy.Horst : viewtopic.php?f=33&t=6235&p=100938#p100938
Conclusion :
Quand vous aurez compris que les cracks, c'est de la merde au lieu de vous demander quel antimachin vous protège le mieux, vous aurez fait un grand pas dans la sécurité
N'ouvrez jamais et ne consultez jamais des sites de cracks
Maintenez votre ordinateur à jour : http://www.malekal.com/updates_windows.html
Lisez ce tutorial : Pourquoi je me fais infecter?
