En téléchargeant et en exécutant un crack, vous pouvez exposer votre ordinateur à une infection, surtout qu'en règle général, les antivirus ne détectent aucune infection, car les cracks sont packagés.
Parfois une simple visite d'un site de crack peut suffire à infecter votre ordinateur, en effet un grand nombre de sites de cracks contiennent des exploits, les personnes n'ayant pas leurs systèmes et logiciels à jour sont vulnérables (voir Scan de vulnérabilités)
Démonstration :
Introduction
La machine est un Windows XP SP2 avec AUCUNE mise à jour exécutée depuis l'installation. La machine n'est donc pas à jour.
Au démarrage de l'ordinateur, aucun processus additif.
Ne sont exécutés sur la machine que quelques processus essentiels au fonctionnement de Windows.
Etape 1
Je me rends sur un site de crack choisi presque au pif.
On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous prévient que le site vous propose de télécharger un fichier ou un ActiveX.
Si l'on regarde les processus à droite, de nouveaux processus sont apparus à savoir :
iedw.exe
newsploit.exe
Conclusion : le site exploite une faille sur le navigateur afin de télécharger et surtout installer des programmes à l'insu de l'utilisateur.
Le téléchargerment et installation est quasi invisible hormis une fenêtre de téléchargement qui s'ouvre. L'utilisateur ne peut rien faire.
Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf
La faille bien connue WMF est exploitée :
Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
La faille WMF exploitée à grande vitesse
Cette faille permet d'exécuter un fichier à l'insu de l'utilisateur.
On peut aussi constater de nouveaux processus sûrement ajoutés par l'exploitation de cette faille :
mtrlqdw.exe
On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.
Etape 3
L'infection continue d'installer sur le système, des fenêtres noires s'ouvrent afin d'ajouter des services ou enregistrer de nouvelles .DLL
On peut aussi constater que la liste des processus non légitimes toujours dans la partie droite s'allonge :
boot.inx
z15.exe
a.exe
mwqlvo.exe
NvVid.exe
pigglet.exe
igtaxbtn.exe
Conclusion
Au final, voici la liste des processus à droite, on peut constater que la liste a considérablement gonflé comparée à la liste des processus initiale (voir intro).
Dans la partie gauche, l'utilitaire msconfig permettant de visualiser les programmes au démarrage.
Tous les programmes cochés (pigglet, NvVid, cmd32) sont infectieux !
On voit ici tous les dangers des sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un site de crack, infecte son ordinateur même avec un antivirus à jour!
Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.
En outre, plus récemment...
L'infection VideoAccessCodec se propage par des cracks : ftopic4869.php
Le P2P est autre vecteur de cracks pourris... certaines infections tirent parti de ce réseau pour se propager...
Pour cela, c'est tout simple... vous téléchargez un crack pourri qui infecte votre ordinateur.
Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes téléchargent à leurs tours ces cracks pourris et ainsi de suite.
Ex avec Security Toolbar : viewtopic.php?p=45109#p45109
C'est aussi le cas de l'infection Bagle : ftopic4442.php
et bien d'autres mentionnés un peu partout sur ce site.
Conclusion :
Quand vous aurez compris que les cracks, c'est de la merde au lieu de vous demander quel antimachin vous protège le mieux, vous aurez fait un grand pas dans la sécurité
N'ouvrez jamais et ne consultez jamais des sites de cracks
Maintenez votre ordinateur à jour : http://www.malekal.com/updates_windows.html
Lisez ce tutorial : Pourquoi je me fais infecter?
