FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierIT

Qu’est-ce que les spywares (logiciel espion) et comment les supprimer

24 janvier 2023 à 08:24

Lorsque nous sommes en ligne, notre pire crainte est de se faire espionner, être la victime d’ yeux indiscrets qui suivent notre activité numérique ou pire volent des données.
Pour y parvenir, les cybercriminels ont créé une menace informatique spécifique les spywares (ou logiciel espions).
En fait, il s’agit de l’une des menaces les plus anciennes et les plus répandues sur Internet, qui infecte secrètement votre ordinateur afin d’initier diverses activités illégales, notamment un vol d’identité ou une violation de données.
Il est facile d’en être la proie et il peut être difficile de s’en débarrasser, d’autant plus que vous n’en êtes probablement même pas conscient.

Dans ce tutoriel, je vous explique ce qu’est un logiciel espion, comment il s’installe sur votre appareil, ce qu’il essaie de vous faire, et enfin comment supprimer les spywares.

Qu'est-ce que les spywares (logiciel espion) et comment les supprimer

Qu’est-ce qu’un spyware ou logiciel espion

Les spywares sont une catégorie de logiciel malveillant (malware) qui s’installent secrètement sur un appareil comme un PC ou mobile.
Ils tentent ensuite de collecter des informations personnelles et données sensibles.

  • Identifiants de connexion – mots de passe et noms d’utilisateur
  • Numéros de cartes de crédit
  • Suivi des habitudes de navigation
  • Adresses électroniques collectées
  • Nom, prénom, adresse postale

Grâce, à ses capacités, les pirates peuvent l’utiliser pour voler des données et les revendre ou encore les réutiliser dans des attaques, notamment dans le cas des entreprises.
Ils peuvent aussi être utilisé par des harceleurs et des partenaires jaloux ; dans certains milieux, les logiciels espions sont appelés stalkerware.

Le terme spyware est apparu dans les discussions en ligne dans les années 1990, mais ce n’est qu’au début des années 2000 que les entreprises de cybersécurité l’ont utilisé pour décrire les logiciels indésirables qui espionnaient l’activité des utilisateurs et des ordinateurs.
Le premier logiciel anti-spyware est sorti en juin 2000, puis par la suite, on pouvait utiliser Spybot, Ad-Aware, Ewido puis AVG Anti-spyware.
Après cela, les catégories de malwares étant de moins en moins étroites, les antivirus ont intégré cette catégorie de menaces.

Ils peuvent être difficiles à identifier pour les utilisateurs et les entreprises et peuvent causer de graves dommages.
Ils rendent également les entreprises vulnérables aux violations et à l’utilisation abusive des données, affecte souvent les performances des appareils et des réseaux et ralentit l’activité des utilisateurs.

Les Spywares : comment ça marche

Étape 1 : infiltration : Les logiciels espions sont installés sur un appareil par le biais de l’installation d’une application, d’un site web malveillant ou d’un fichier joint.

Étape 2 – Surveiller et capturer : Une fois installé, le logiciel espion se met à suivre l’utilisateur sur Internet, à capturer les données qu’il utilise et à voler ses identifiants, ses informations de connexion et ses mots de passe.
Cette surveillance et capture peut se faire par les moyens suivants :

  • Keylogging : enregistrement de tout ce que vous tapez, y compris les noms d’utilisateur, les mots de passe, les informations bancaires, etc.
  • Enregistrement audio et vidéo, et capture d’écran
  • Contrôle à distance de l’appareil
  • Capture du contenu des e-mails, de la messagerie et des applications sociales.
  • Enregistrement et capture de l’historique du navigateur

Étape 3 – Récupérer les données : Le malware transmet les données aux cybercriminels. Cela peut se faire par envoie sur le centre de contrôle (C&C), par mail ou FTP.
Tout la procédure d’exfiltration des données est automatiques et incluses dans le code du spyware.
Le cybercriminel gère l’infrastructure pour faire fonctionner le malware et récupérer les données.

Étape 4 – Utiliser les données volées ou les revendre : Une fois les données et les informations capturées, l’attaquant va soit utiliser les données amassées, soit les vendre à un tiers.

  • S’il utilise les données, il peut prendre les informations d’identification de l’utilisateur pour usurper son identité ou les utiliser dans le cadre d’une cyberattaque plus vaste contre une entreprise.
  • S’il vend les données, il peut les utiliser pour réaliser un profit avec des organisations de données, d’autres pirates ou les mettre sur le dark web
Les Spywares : comment ça marche

Quels sont les types de spywares

Keylogger

Cette menace informatique se spécialise dans la capture l’activité du clavier.
Le but principale est de voler des identifiants et mots de passe. Toutefois, cela peut aussi s’élargir à n’importe quelles données comme des numéro de téléphones, données nominatives etc.

Les keylogger ou enregistreur de frappes clavier

InfoStealer et Trojan Stealer

Ce sont des applications qui analysent les ordinateurs infectés et recherchent diverses informations, notamment des noms d’utilisateur, des mots de passe, des adresses électroniques, l’historique du navigateur, des fichiers journaux, des informations système, des documents, des feuilles de calcul ou d’autres fichiers multimédias.
Ils réalisent généralement des captures d’écran de la fenêtre en cours à intervalles réguliers. Les enregistreurs de frappe peuvent également collecter des fonctionnalités, permettant la capture et la transmission furtive d’images et d’audio/vidéo à partir de n’importe quel appareil connecté.
Enfin ils peuvent même permettre aux attaquants de recueillir des documents imprimés sur des imprimantes connectées, qui peuvent ensuite être transmis à un serveur distant ou stockés localement pour être récupérés.

L’infoStealer signifie informations stealer pour voleur de données, mais ils sont aussi nommés Trojan Stealer.
Les détections peuvent du type Spyware.InfoStealer.

Trojan Stealer : le malware qui vole des données

Trojan Banking

Ce sont des applications conçues pour récolter les informations d’identification des institutions financières. Ils tirent parti des vulnérabilités de la sécurité des navigateurs pour modifier les pages Web, modifier le contenu des transactions ou insérer des transactions supplémentaires, le tout de manière totalement dissimulée et invisible pour l’utilisateur et l’application Web hôte.
Pour cela, ils peuvent agir en tant que proxy pour intercepter les communications, falsifier ou rediriger vers de faux sites bancaires pour voler les informations d’identifications.

Les chevaux de Troie bancaires peuvent cibler diverses institutions financières, notamment des banques, des sociétés de courtage, des portails financiers en ligne ou des portefeuilles numériques. Ils peuvent également transmettre les informations collectées à des serveurs distants pour qu’elles soient récupérées.

La détection générique est Trojan.Banker, Spyware.Banker.
Toutefois, la détection porte plutôt la famille de malware car il en existe beaucoup.

Trojan Banker : botnet spécialisé dans le vol de compte bancaire

Tracking cookies / Adwares

Certains antivirus peuvent catégoriser les tracking cookies en tant que spyware car ils permettent de pister l’internaute.
Mais ils ne donnent pas la possibilité de surveiller ou voler des données.
C’est aussi le cas des adwares car ils surveillent l’activité des utilisateurs, puis vend leurs données à des annonceurs et à des acteurs malveillants ou diffuse des publicités malveillantes.

Les spywares sur mobile Android ou iOS

Les Smartphones sont aussi la cible de spyware.
On peut les différencier en deux catégories :

Les logiciels espions mobiles se cachent en arrière-plan (sans créer d’icône de raccourci) sur un appareil mobile et volent des informations telles que la liste des contacts, les messages SMS entrants et sortants, les journaux d’appels entrants et sortants, les courriels, l’historique du navigateur et les photos.
Les logiciels d’espionnage mobiles peuvent aussi potentiellement enregistrer vos frappes au clavier, enregistrer tout ce qui se trouve à portée du microphone de votre appareil, prendre secrètement des photos en arrière-plan et localiser votre appareil par GPS.

Dans certains cas, les applications d’espionnage peuvent même contrôler les appareils via des commandes envoyées par des messages SMS et/ou des serveurs distants.
Cela permet de diffuser des SMS automatiques (smshing) avec des liens malveillants pour se propager.
Par exemple, Trojan-Banker.AndroidOS.Wroba fonctionne comme cela avec de faux SMS Chronopost : Trojan Android diffusé par des SMS de faux colis

Le logiciel espion peut envoyer vos informations volées par transfert de données vers un serveur distant ou par courrier électronique.

Comment supprimer les spywares (logiciel espion)

Aucune méthode spécifique pour supprimer un logiciel espion de son PC.
Vous pouvez suivre une procédure standard pour désinfecter votre PC :

Supprimer les virus et désinfecter son PC

L’article Qu’est-ce que les spywares (logiciel espion) et comment les supprimer est apparu en premier sur malekal.com.

Supprimer le virus vbc.exe

16 janvier 2023 à 12:29

vbc.exe (Visual Basic Command Line Compiler) est un programme légitime de Windows qui lorsqu’il est en cours d’exécution peut faire penser à la présence d’un logiciel malveillant sur votre PC.
Ce programme n’est pas malveillant en soit, mais il n’est pas censé constamment en en cours d’exécution.
Ainsi, si vous constatez la présence de vbc.exe dans le gestionnaire de tâches, il est possible qu’un malware soit actif sur votre PC. Notamment, il peut s’agir d’un Trojan RAT (Remote Access Tool).

Dans ce tutoriel, je vous guide et explique comment supprimer le virus et cheval de troie vbc.exe.

Supprimer le virus vbc.exe

Qu’est-ce que vbc.exe

vbc.exe est un fichier légitime connu sous le nom de Visual Basic Command Line Compiler présent dans NET. Framework.
Il permet de compiler un programme informatique, c’est à dire le faire passer de l’état de programme informatique à celui de programme binaire en langage machine qui peut s’exécuter dans le système d’exploitation.
Il est associé à l’application Microsoft Visual Studio développée par Microsoft Corporation.
Généralement, il se situe dans C:\Windows\Microsoft.NET\Framework64\v4.0.30319\vbc.exe.

Les programmeurs de logiciels malveillants créent des fichiers contenant des scripts de virus et les nomment vbc.exe dans le but de propager des virus sur Internet.

Si vous constatez la présence de vbc.exe sur votre PC, il est possible qu’un malware soit actif sur votre PC.
En général, les autres symptômes qui font penser à la présence d’un malware sont les suivants :

  • Des alertes de menaces de Trojan de Windows Defender
  • Un problème de double accent circonflexe ou tréma
  • La souris qui bouge toute seule
  • Vbc.exe peut utiliser 100 % des ressources du processeur
  • Des erreurs d’applications vbc.exe s’affichent régulièrement
  • La connexion Internet fluctue
  • Le PC ralentit considérablement
  • Le navigateur redirige automatiquement vers des sites Web non pertinents
  • Des publicités non sollicitées et des popups commencent à apparaître
  • L’écran se fige constamment

Suivez ce tutoriel pour supprimer ce malware.

Comment supprimer le virus vbc.exe

Si vous avez déjà utilisé des programmes tels qu’AdwCleaner ou ZHPCleaner, vous pouvez les supprimer de votre PC.
Ils sont totalement inutiles pour ce type de menaces informatiques.

Avec Malwarebytes Anti-Malware

Malwarebytes Anti-Malware ou MBAM, comme son nom l’indique, est un logiciel anti-malware.
Il vise toute type et catégorie de malware comme les trojan, spywares, rootkit, adwares, PUP, etc.
La version gratuite donne la possibilité d’analyser, détecter et éradiquer les logiciels malveillants.
Avec le temps, il est reconnu pour être un des programmes de suppression de malwares des plus efficaces.

Vous pouvez donc l’utiliser pour détecter le Trojan à l’origine de vbc.exe.
Pour cela, suivez ce tutoriel complet.

MalwareBytes Anti-Malware (MBAM) : supprimer les virus

Avec RogueKiller

RogueKiller est un utilitaire gratuit dédié dans la désinfection de virus.
Lui aussi est capable de détecter toutes les menaces informatiques.
Son utilisation est très simple, vous l’exécutez, scanner votre PC et si des menaces sont détectées, il vous propose de les supprimer.
Pour y parvenir, suivez le guide du site :

RogueKiller : supprimer les virus de son PC

Supprimer les virus sur le forum

Vous n’avez pas réussi à vous débarrasser de vbc.exe ?
Vous trouverez d’autres méthodes pour éradiquer des malwares dans les tutoriels suivants.
Notamment, les outils de désinfection et de suppression de virus les plus efficaces.

Une autre solution pour retirer le virus vbc.exe est d’obtenir de l’aide sur le forum du site.
Une aide gratuite est disponible.
Voici la procédure à suivre :

Les conseils pour se protéger des malwares

Une fois que vous réussi à supprimer vbc.exe de votre PC, il convient de suivre quelques conseils.
Tout d’abord, changer vos mots de passe car ils ont été probablement voler.
En effet, bien souvent, vbc.exe cache la présence d’un Trojan Stealer qui vole des données sur votre ordinateur.
Pour s’assurer que vos comptes internet ne soient pas piratés, modifiez tous vos mots de passe.

Ensuite, il convient de sécuriser votre PC contre les menaces informatiques.
Toutefois, pensez que dans la plupart des cas, l’intrusion du virus vbc.exe provient d’un téléchargement d’une source non fiable.
Par exemple, vous avez télécharger un crack ou une pièce jointe d’un mail malveillant.
Pour sécuriser votre PC, consultez ce guide :

Comment protéger son PC des virus et des pirates ?

L’article Supprimer le virus vbc.exe est apparu en premier sur malekal.com.

Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick

31 octobre 2022 à 13:55

Depuis quelques semaines une campagne de publicité malveillante (malvertising) est présente sur le site lepoint.fr.
Celle-ci vise à rediriger les internautes vers de fausses pages d’erreur Windows faisant la promotion d’arnaque support et hotline téléphonique.
Voici quelques informations concernant cette campagne d’escroquerie.

Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick

Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick

Une publicité malveillante présente depuis plusieurs semaines

Le 5 octobre, vu passé ce tweet : https://twitter.com/KingJulian_Z/status/1577591483925991424
Dans ce dernier, on voit le streamer/présentateur TV/journaliste/chroniqueur/marathonien tomber sur une malvertising sur le site lepoint.fr en plein direct sur sa chaîne Twitch.
Cette dernière redirige vers une fausse page d’erreur Windows faisant la promotion d’arnaque de support téléphonique.
Ce procédé n’a rien de nouveau, puisqu’il existe depuis 2016. Plus d’informations : Arnaque support et hotline téléphonique

Pour rappel, une malvertising (publicité malveillante).. sont des publicités qui permettent à des cybercriminels de rediriger les internautes vers des publicités malveillantes.
L’avantage lorsqu’un cybercriminel parvient à soumettre sa publicité malveillante sur un réseau publicité importante est qu’il peut toucher des sites internet à fortes audiences.

Par le passé (autour de 2015), elles étaient fortement utilisées pour rediriger vers des Exploit Kits (attaque Drive-By Download).
Puis par la suite pour charger des arnaques, par exemple, en 2019, les sites de jeux Microsoft étaient visés par des malvertising pour rediriger vers des iphone ou Samsung à 1 euro.
J’en parlais dans cet article : Malvertising sur Microsoft menant à des arnaques

Ici le site Lepoint.fr est touché.

Le réseau publicitaire DoubleClick touchée

J’ai pu tomber sur la publicité malveillante, ce qui permet ensuite de remonter la chaîne pour trouver la régie publicitaire source.
Le domaine internet de la page d’arnaque de support téléphonique est search-4914.info avec une fausse page du contrôle des comptes utilisateur (UAC) comme on peut le voir dans la vidéo en introduction.
Bien sûr le domaine internet change régulièrement pour échapper aux détections des antivirus.

Malvertising sur lepoint.fr via DoubleClick

Cela commence par la régie DoubleClick (qui appartient à Google) utilisée sur le site lepoint.fr pour monétiser.
Une des publicités de securepubads.g.doubleclick.net charge un script distant à l’adresse advoiceservices.com/L32/ads/Digital/csi.js

Malvertising sur lepoint.fr via DoubleClick

Dans mon cas, celle-ci ci affiche une bannière publicité pour Lufthansa.
Mais surtout, à la fin, on trouve un code qui permet modifier la page active dans le navigateur internet pour la remplacer par une autre page.
C’est ce code en Javascript qui va rediriger la page Web du lepoint.fr automatiquement vers celle de l’arnaque de support téléphonique.
L’URL offusquée en base64.

Malvertising sur lepoint.fr via DoubleClick

Lorsque l’on décode, on trombe sur une URL : https://cloud-stats.info/lead/7902/lib-989/js-irtrwy/analytics-z2.1.322.js – 45.76.141.245 (AS-CHOOPA)

Malvertising sur lepoint.fr via DoubleClick

A titre informatique, voici la bannière Lufthansa :

Malvertising sur lepoint.fr via DoubleClick

Ensuite cloud-stats.info redirige à nouveau vers une autre URL se faisant passer pour un service d’URL courte : http://short1.info/UI8mL1 – 45.76.141.245 (AS-CHOOPA).
A noter que celle-ci n’utilise pas HTTPS mais le navigateur internet ne va pas émettre aucune alerte de sécurité.

Malvertising sur lepoint.fr via DoubleClick

Enfin cette dernière charge le landing page des arnaques de support téléphonique, ici donc search-4914.info.

Malvertising sur lepoint.fr via DoubleClick

Ce qui nous donne la chaîne suivante :

lepoint.fr
DoubleClick (Régie publicitaire de Google)
https://advoiceservices.com/L32/ads/Digital/csi.js
https://cloud-stats.info/lead/7902/lib-989/js-irtrwy/analytics-z2.1.322.js
http://short1.info/UI8mL1
https://search-4914.info/2027/03SA8T95BYZMK/
Malvertising sur lepoint.fr via DoubleClick

Tous les domaines sont enregistrés auprès du registrar Namecheap.
short1.info et cloud-stats.info utilisent le même serveur 45.76.141.245 (AS-CHOOPA).
On ne trouve pas d’autres activités malveillantes dessus.

advoiceservices.com un domaine internet qui pose question

L’adresse advoiceservices.com source de la publicité malveillante pose question.
En effet, on ne trouve aucune information sur cette dernière.
Il coche toutes cases d’un domaine enregistré ou récupéré à des fin d’escroquerie.

  • La page https://www.advoiceservices.com est vide
  • Le site est hébergé via le CDN CloudFlare masquant la véritable adresse IP des serveurs finaux
  • La Whois est masqué donnant une adresse en Islande
Redacted for Privacy
Privacy service provided by Withheld for Privacy ehf
Kalkofnsvegur 2,
Reykjavik, Capital Region, 101, is
Malvertising sur lepoint.fr via DoubleClick

L’adresse postale semble être l’adresse générique utilisée par le registrar Namecheap lorsque l’on veut masquer les informations du Whois.
Ce qui est troublant, c’est qu’on ne trouve presque des domaines internet malveillants notamment utilisés pour du phishing et ransomware.

Malvertising sur lepoint.fr via DoubleClick

A noter ce Tweet encore actif démarre en Avril 2021 avec de nouveaux domaines utilisés par des cybercriminels.

Malvertising sur lepoint.fr via DoubleClick

Etonnant qu’avec une adresse pareille, la malvertising ait pu rester actif aussi longtemps.

L’article Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick est apparu en premier sur malekal.com.

svchost.exe et forte utilisation CPU et Trojan : les solutions

8 avril 2018 à 19:11

Les trojans ou cheval de troie sont une plaie pour les internautes, ils permettent aux pirates de voler les données, accéder à votre PC à votre insu.
Parfois ils provoquent des dysfonctionnements du PC.
Dans ce tutoriel, nous allons intéresser à l’utilisation CPU importante de svchost.exe dont l’origine est un cheval de troie.

Voici les solutions pour résoudre l’utilisation importante du processeur de svchost.exe à cause d’un trojan.

Qu’est-ce que svchost.exe ?

Afin qu’il n’y est pas de confusion, quelques informations rapides qui sont déjà données dans divers articles du site.

Dans le cas précis, il s’agit d’un fichier DLL malveillant qui est chargé le processus rundll32.exe qui lui aussi est légitime.
Les utilisateurs rapportent alors une utilisation constante et forte de la CPU par le processus svchost.exe.
La difficulté est que cela bloque pas mal l’ordinateur et les navigateurs internet semblent aussi se fermer tout seul lors de tentative de téléchargement de programmes de désinfection.
A noter, que le malware ne touche qu’une session précise, donc si vous avez un autre utilisateur administrateur, vous pouvez tenter une désinfection avec Malwarebytes Anti-Malware (MBAM).

Exemple de forte utilisation CPU svchost.exe à cause d’un trojan : les solutions

Le service svchost.exe qui cause des problèmes de CPU, lance le malware : %LOCALAPPDATA%\XService\Xservice.dll
Ce dernier est un trojan Stealer Trj/GdSda.A ou TrojanSpy.Socelars!.
Pour le fonctionnement des malwares via de services Windows, lire la page : Comment supprimer un services Windows liés à un virus

svchost.exe forte utilisation CPU et Trojan
svchost.exe forte utilisation CPU et Trojan

Au moment où sont écrites ces lignes, Malwarebytes ne le détecte pas, mais je vais faire en sorte que ce soit plus le cas.

svchost.exe forte utilisation CPU et Trojan
svchost.exe forte utilisation CPU et Trojan

Une variante est arrivée plus tard qui fonctionne un peu différemment.
Ce dernier se lance en userland et à partir d’un sous-dossier dans %TEMP%

Le lancement se fait à partir de msiexec.exe qui lance un fichier fltmgr.zip, ce dernier est décompressé dans le dossier TEMP.

 

Les dossier est composé des fichier data.bin, fltmgr.cpl, pmain.zip et unzip.exe.
Une fois svchost.exe lancé, le dossier est vidé.

Les détections sont de 5 à 6 :

https://www.virustotal.com/#/file/e0255e08d4999e5a25d1885744198291837f9d33f10b545d3d934d181c2bd601/detection
https://www.virustotal.com/#/file/ba0ba1d0f87a4ef8e69740a7540b9bb2b2819246a360b9c4a73800dc6d013a5a/detection

Tout ceci est présenté dans cette vidéo :

Comment supprimer le Trojan qui provoque la forte utilisation svchost.exe

Désinfecter son PC

Pour supprimer tous les logiciels malveillants de votre PC, suivez ce tutoriel :

Il existe aussi un dossier complet qui présente différents outils de désinfection (RogueKiller, HitMan Pro, MBAM, …) : Supprimer les virus et désinfecter son PC

Vérifiez ensuite si cela résout les fortes utilisations CPU de svchost.exe
N’hésitez pas à faire plusieurs scans dans les prochains jours pour s’assurer que tous les malwares sont bien éradiqués.
Sinon demandez de l’aide sur le forum.

Après la désinfection

Pensez à changer tos vos mots de passe car ils ont été probablement récupéré par les pirates.
Ils peuvent alors accéder à votre compte internet à votre insu.

Par la suite, vous pouvez sécuriser votre PC pour éviter les malwares :

Liens

L’article svchost.exe et forte utilisation CPU et Trojan : les solutions est apparu en premier sur malekal.com.

Kmspico / KMSAuto et les trojans

24 mai 2016 à 22:15

KMSpico (et ses dérivés comme KMSAuto) est un outil de piratage ou crack qui permet d’activer des logiciels Microsoft comme Windows et Office.
Ce dernier fonctionne toutes les versions de Windows 11, Windows 10 et Windows 7 et 8.1 et Office 2019, 2016, 2013 et 2010.
Pour plus d’informations sur le fonctionnement et principe de ce dernier, lire la page : KMSPico : activation de Windows/Office de manière illégale

Comme tout programme pour cracker des logiciels, la notoriété est utilisé pour distribuer des versions vérolées.
Le but est de mettre en ligne des versions de KMPico qui mène à toute sorte de logiciel malveillants.
Cette page montre comment ces versions de KMSpico vérolées sont distribuées afin d’infecter les internautes.

Kmspico / KMSAuto et les trojans

Les sites malveillants KMSPico

Initialement, KMSpico est détecté en Hacktool (outils dit de hack) par les antivirus non pas parce qu’il s’agit d’un virus, cheval de troie ou autres menaces.
Il s’agit plutôt d’une détection économique qui vise à protéger les programmes Microsoft ou prévenir lorsque des outils pour cracker ces logiciels sont utilisés.
Ainsi, si vous avez installé KMSpico sur votre ordinateur alors votre antivirus risque d’émettre des alertes.

Voici une liste des détections que l’on peut rencontrer par les éditeurs d’antivirus.
La plupart des détections données sont HackTool:Win32/AutoKMS ou Win32/AutoKMS.

KMSpico est assez populaire et donc comme tous les cracks, des personnes malveillants peuvent profiter de la situation pour tenter de pousser des malwares.
Tout comme il existe de faux sites KickAssTorrents, de faux sites proposant KMSPico ont été mis en ligne et qui sont diablement bien placés sur Google puisqu’on les trouve dans les premiers résultats.

KMSPico et malwares
KMSPico et malwares
KMSPico et malwares
KMSPico et malwares

Ces sites se ressemblent tous en effet, l’auteur a multiplié ces derniers pour maximiser les chances que les internautes tombent dessus.

Quelques exemples de malwares distribués par KMSpico

Sur les forums de désinfection informatique, on constate beaucoup d’internautes qui se font piéger par ces faux sites KMSpico et qui demandent à désinfecter leurs ordinateurs.
Parmi les malwares présents, on trouve généralement :

Ces derniers mènent systématiquement à la plateforme de programmes indésirables et adwares : Amonetize
Et pire pour certains autres sites qui mènent en plus à des Trojans plus sophistiqués.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Official-KMSpico.com est un site qui propose KMSpico et qui sort en premier dans les résultats de Google.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Le fichier ZIP est protégé par un mot de passe.

Une fois que l’utilisateur lance le Setup KMSpico, le contrôle des comptes d’utilisateur (UAC) se déclenche sur un fichier KMS_pico.exe

Le fichier est positif avec 8 détections sur VirusTotal.
La taille du fichier est gonflé artificiellement pour éviter l’analyse en temps réel et la remonté automatique du fichier par l’antivirus vers les laboratoires.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

La majorité des détections sont des détections génériques.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Windows Defender le détecte en tant que Trojan:Win32/Androm.
Ce dernier du type Trojan Stealer et va voler des données comme les mots de passe.

Trojan:Win32/Androm détecté par Windows Defender

Un Trojan AutoIT est alors actif dans le système.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Il se rend actif dans le système par une tâche planifiée.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST et Trojan/Pacoredi

Getkmspico.com et OfficielKMSpico.com suivent dans les résultats Google.
Les téléchargements renvoient vers des hébergeurs comme file.fan ou rapideshare.io.

Getkmspico.com et OfficielKMSpico.com et  Hijacker.proxy et PUP.Optional.PrxySvrRST

Ce dernier installe un malware se faisant passer par InstallShield, par le passé, il a pu aussi se faire passer pour Adobe Flash.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST

Il s’agit d’un malware de type Hijacker.Proxy qui force un proxy dans le système, ici à l’adresse 127.0.0.1:86.
Lorsque l’on tente de le désactiver ou le supprimer, il revient.
Cela peut générer des erreurs ERR_PROXY_CONNECTION_FAILED ou ERR_PROXY_CONNECTION_FAILED lors du chargement des sites internet.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST

De plus des restrictions administrateur (policies) sont placés pour griser les paramètres réseau dans les options internet.
Le message “Certains paramètres sont gérés par votre administrateur système” s’affiche.

Certains paramètres sont gérés par votre administrateur système dans les paramètres réseau des options internet

Ce dernier se rend actif par une tâche planifiée.

Tâche planifiée qui exécute le Trojan Pacoredi

La détection est essentiellement de type HackTool.

Détection d'un malware poussé par KMSpico

Par la suite, des détections du type Détection Trojan/Pacoredi ou Hacktool.Pacoredi ont été ajoutées.

Détection Trojan/Pacoredi ou Hacktool.Pacoredi

AdwCleaner peut détecter ce dernier en PUP.Optional.PrxySvrRST, toutefois, afin de pouvoir supprimer entière les paramètres de Proxy.
On retrouve une tâche planifiée de type InstallShield pdate Service.
Il faut activer dans les paramètres d’AdwCleaner la réinitialisation du proxy sinon Malwarebytes Anti-malware peut faire le boulot.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

Beaucoup d’internautes sont touchés par un logiciel malveillant qui installe un proxy afin de manipuler les pages visitées.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

Trojan Boaxxe (2016)

Une ancienne campagne de sites KMSPico malveillants autour de 2016.
J’ai d’ailleurs fait une vidéo en démonstration de ces pièges présents sur la toile :

Sur la vidéo, c’est le Trojan Boaxxe qui est poussé mais bien entendu avec le temps, les liens peuvent mener à d’autres menaces.

SHA256: 34bb6d3cd5efa256caf885940b23f0ee06fe181fe95a85a772d2f26ae600b7c9
File name: 72ac6c9aa9efaea7313947655b4b7023.exe
Detection ratio: 19 / 56
Analysis date: 2016-05-24 13:10:08 UTC ( 6 hours, 47 minutes ago )
Antivirus Result Update
AVG Inject3.AQUC 20160524
AVware Trojan.Win32.Generic.pak!cobra 20160524
AegisLab Inject3.Aquc.Gen!c 20160524
Avast Win32:Malware-gen 20160524
Avira (no cloud) TR/Agent.mlqw 20160524
DrWeb Trojan.Boaxxe.484 20160524
ESET-NOD32 Win32/Boaxxe.EJ 20160524
Fortinet W32/Injector.CYKT!tr 20160524
GData Win32.Trojan.Agent.IUIVTW 20160524
Ikarus Trojan.Win32.Injector 20160524
K7AntiVirus Trojan ( 004de0511 ) 20160524
K7GW Trojan ( 004de0511 ) 20160524
Malwarebytes Trojan.Kovter 20160524
McAfee Artemis!72AC6C9AA9EF 20160524
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160524
Microsoft Trojan:Win32/Dynamer!ac 20160524
Rising Malware.Undefined!8.C-ZihdbJhmqeM (Cloud) 20160524
Sophos Mal/Generic-S 20160524
VIPRE Trojan.Win32.Generic.pak!cobra 20160524

On trouve d’autres plateformes de programmes indésirables/Adwares dont le malicieux ShopperZ et MPC Cleaner

Kmspico_Trojans_bundle_adwares

Quelques autres faux sites liés à KMSPico :

198.143.129.108 :
KMSPico 10.2.1 | Windows 10 Activator and Office Activator
http://microsofttoolkits.com/ http://kmspicodownload.com/ http://removewatdownload.net/ http://download.kmspicofinal.com/ http://windows10activatordownload.com/
KMSPico 10.2.1 | Windows 10 Activator and Office Activator
http://officeactivator.com/ http://download.officeactivator.com/
162.144.20.148 :
www.kmspicoactivator.org
www.windows7activator.org
windows7activator.org
kmspicoactivator.org

La conclusion de tout cela, est que lorsqu’on tenter de cracker ses logiciels, il faut bien choisir ses sites car les pièges sont vraiment fréquents.
Depuis des années et des années, de faux cracks sont mis en lignes pour pousser des malwares, plus d’informations : Le danger des cracks et keygen

Faux sites KMSAuto et Windows Loader

Même procédés avec de faux sites KMSAuto qui est un autre logiciel similaire à KMSPico.
Là aussi, les premières sites en résultat de recherche Google conduisent à des installeurs malicieux.

kmsauto-faux-site_trojan

ou encore “Windows Loader by Daz” qui est un autre utilitaire connu pour cracker Windows.
On reconnaît la charte graphique de celui-ci qui est la même que pour KMSPico.

Windows Loader pour cracker Windows renvoie vers des malwares

Les deux suivants installent un Trojan RAT qui permet de contrôler l’ordinateur et récupérer les mots de passe enregistrés dans les navigateurs internet.

Windows Loader pour cracker Windows renvoie vers des malwares
Windows Loader pour cracker Windows renvoie vers des malwares

L’article Kmspico / KMSAuto et les trojans est apparu en premier sur malekal.com.

❌