Pour un dossier complet explicatif sur les cracks, suivez l'article : Crack ou keygen : Qu'est ce que c'est ?
Démonstration via des exploits
Introduction
Infection via des exploits sur des sites WEB. La machine est un Windows XP SP2 avec AUCUNE mise à jour exécutée depuis l'installation. La machine n'est donc pas à jour. Au démarrage de Windows, aucun processus additif. Ne sont exécutés sur la machine que quelques processus essentiels au fonctionnement de Windows.
Etape 1
Je me rends sur un site de crack choisi presque au pif. On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous prévient que le site vous propose de télécharger un fichier ou un ActiveX.
Si l'on regarde les processus à droite, de nouveaux processus ( iedw.exe et newsploit.exe ) sont apparus.
Conclusion : le site exploite une faille sur le navigateur afin de télécharger et installer sur Windows des programmes à l'insu de l'utilisateur. Le téléchargement et l'installation est quasiment invisible hormis une fenêtre qui s'ouvre et se referme. L'utilisateur ne peut rien faire pour contrer la menace.
Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf La faille bien connue WMF est exploitée ( Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability | Microsoft Windows WMF Handling Remote Code Execution Vulnerability | La faille WMF exploitée à grande vitesse )
Cette vulnérabilité permet d'exécuter du code à l'insu de l'utilisateur. On peut aussi constater de nouveaux processus sûrement ajoutés par l'exploitation de cette faille. On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.
Etape 3
L'infection continue d'installer sur le système Windows, des fenêtres noires s'ouvrent afin d'ajouter des services ou enregistrer de nouvelles bibliothèques ( .dll ). On peut aussi voir que la liste des processus non légitimes toujours dans la partie droite s'allonge : boot.inx, z15.exe, a.exe, mwqlvo.exe, NvVid.exe, pigglet.exe, igtaxbtn.exe, ...
Conclusion
La liste des processus située à droite démontre qu'un grand nombre de maliciels sont à l'œuvre sur le Windows infecté. Dans la partie gauche, l'utilitaire msconfig affiche les programmes au démarrage de Windows. Tous les programmes cochés (pigglet, NvVid, cmd32,..) sont infectieux. En un rien de temps votre Windows est devenu un zombi !
On voit ici tous les dangers des faux sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un faux site de cracks, infecte son Windows même avec un antivirus à jour. Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.
Les faux sites de crack
Voici une liste de faux sites de cracks - tous les cracks proposés sur ces sites sont identiques et infectieux. Les auteurs des sites jouent sur les référencements des moteurs de recherche, .. et sont extrêmement bien positionnés ( ils payent Google pour ça ) dans les classements des moteurs de recherche ou depuis d'autres sites de cracks. Les chances de tomber sur ces sites sont énormes. Le triste et célèbre Virut est diffusé via des cracks infectés.
Les sites suivants sont des sites vitrines.
Tous les cracks pointent vers la même adresse :
- hxxp://keyz-db.com/download/newcam/<nomducrack>.exe
Code : Tout sélectionner
keygen.name A 85.142.1.66
cityonweb.com A 85.142.1.66
http://www.cityonweb.com A 85.142.1.66
indexie.com A 85.142.1.66
http://www.indexie.com A 85.142.1.66
seriall.com A 85.142.1.66
http://www.seriall.com A 85.142.1.66
serialsam.com A 85.142.1.66
http://www.serialsam.com A 85.142.1.66
asta-killer.com A 85.142.1.66
http://www.asta-killer.com A 85.142.1.66
astakiller.com A 85.142.1.66
getcracks.com A 85.142.1.66
http://www.getcracks.com A 85.142.1.66
theserials.com A 85.142.1.66
http://www.theserials.com A 85.142.1.66
wwww.theserials.com A 85.142.1.66
http://www.serialslist.com A 85.142.1.66
cracks4u.com A 85.142.1.66
http://www.cracks4u.com A 85.142.1.66
keygen.in A 85.142.1.66
http://www.keygen.in A 85.142.1.66
http://www.www.keygen.in A 85.142.1.66
linkworld.us A 85.142.1.66
http://www.linkworld.us A 85.142.1.66
looker.us A 85.142.1.66
http://www.looker.us A 85.142.1.66
grep.ws A 85.142.1.66
http://www.grep.ws A 85.142.1.66
thekeys.ws A 85.142.1.66
http://www.thekeys.ws A 85.142.1.66
stick.spb.ru A 85.142.1.66
mozel.spb.ru A 85.142.1.66
scarlett.spb.ru A 85.142.1.66
eho.msk.ru A 85.142.1.66
ns2.avmgroup.ru A 85.142.1.66
asta-killer.ru A 85.142.1.66
Ces sites possèdent leur propre moteur de recherches.
Les sites ci-dessus construisent un crack quasiment identique. Les fichiers install.exe crack.exe ou serial.exe sont simplement ajoutés aux cracks légitimes. Si l'un de ces fichiers est exécuté alors Windows sera infecté.
Code : Tout sélectionner
ns.findweblinks.com A 91.195.110.99
ns.freeserials.ws A 91.195.110.99
http://www.freeserials.ws A 91.195.110.99
montezuma.spb.ru A 91.195.110.99
ns.montezuma.spb.ru A 91.195.110.99
freeserials.spb.ru A 91.195.110.99
ns.freeserials.spb.ru A 91.195.110.99
La vidéo illustrative :
Et ça fonctionne....
Et le warez dans tout ça ?
Les forums warez sont floodés de faux sujets de cracks qui cachent des trojans ou des RATs.
Le forum planete-lolo où les sujets en cadre rouge renferment des maliciels.
Voir les sujets :
- planete-lolo : cracks et….. RATs
- Trojan-Dropper.Win32.Dapato chez Free via OVH
- Backdoor:Win32/Fynloski.A sur Orange via no-ip.org
PUP et PUP/Amonetize
En 2015, ces sites de cracks sont encore utilisés mais cette fois c'est pour refiler des programmes parasites. Soit des sites créés de toute pièces. Soit des sites piratés pour faire héberger des pages de faux cracks/keygen. Le plus actif étant PUP/Amonetize
Exemple deux sites créés :
qui redirigent vers des pages de téléchargements de programmes parasites :
Plus d'informations en anglais sur la page : PUPs by Cracks/Keygen
YouTube / Dailymotion
En vidéo :
Et sur le P2P ?
Une vidéo sur les cracks par P2P avec le malware Bagle :
Le P2P est un autre vecteur de cracks pourris... certaines infections tirent parti de ce réseau pour se propager... Pour cela, c'est tout simple... vous téléchargez un crack pourri qui infecte votre Windows. Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes téléchargent à leurs tours ces cracks pourris et ainsi de suite.
- Security Toolbar : http://forum.malekal.com/security-toolb ... t6199.html
- Bagle : http://forum.malekal.com/bagle-beagle-t ... t4442.html
- Virut : http://forum.malekal.com/virut-virtob-v ... t5177.html et en illustration : http://forum.malekal.com/w32-virut-gen- ... ml#p161244
- TR/Proxy.Horst : http://forum.malekal.com/proxy-horst-t6235.html
Conclusion :
N'ouvrez jamais et ne consultez pas de sites de cracks si vous n'avez pas les connaissances requises pour éviter les infections
Quelques liens pour Sécuriser son Windows :
- Maintenez votre Windows à jour : Mise à jour Windows et Maintenir ses logiciels à jour. Lisez ce tutoriel : Pourquoi et comment je me fais infecter? ainsi que Comment les virus informatiques sont distribués.