Faux site de crack : ça marche encore bien

A l’heure où les sujets ZAccess / Sereref commencent à exploser sur les forums de désinfection.
Un petit mot concernants quelques sites faux sites de cracks, ces derniers existent depuis plusieurs mois, au départ, ils droppaient du TDSS dernièrement du ZAccess puisque c’est le nouveau malware à la mode.
Tous les cracks proposés sont des droppers.

Les trois sites en questions :

keygendb.com - 188.95.48.109 (NL)
crackzone.net - 89.248.165.139 (BE)
cracksguru.com - 188.95.53.19 (NL)

Comme on peux le voir les sites se ressemblent :

Des sites vitrines

Le téléchargement des cracks pointent tous sur la même adresse : http://load.keygendb.net/crack/get_crack.php?ID – 111.221.47.133 (SG)
C’est à dire que tous les cracks lancent le téléchargement d’un script sur load.keygendb.net qui compile le droppe sous forme de Zip avec un fichier note comme souvent on trouve sur les cracks.
Bref faire croire que c’est un vrai crack.

et ça marche…

Les trois sites sont donc des sites vitrines, le but est de produire une base de données de cracks, lors d’une recherche sur un site cracks annuaires type (keygenguru.com) ou depuis Google.
Le quidam lambda cherche son crack, arrive sur ce site, réfléchis pas, clic, lance le crack qui est un dropper et le PC est infecté (sauf si l’antivirus warn).

mais bon là comptez pas là dessus, car comme vous le savez jeu du chat et de la souris et les droppers sont constamment mis à jour pour échaper aux détection.
Ce  qui donne par exemple la détection pour ce matin : http://www.virustotal.com/file-scan/report.html?id=e1d6dd96e3ca969d69537e4d2937eacfdcbab5ee1f541901a812d66b55538edd-1314863980

File name: Codelobster_Php_Edition_3_serials_generator_by_F4CG.exe
Submission date: 2011-09-01 07:59:40 (UTC)
Current status: finished
Result: 2 /44 (4.5%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.31.01 2011.08.31 -
AntiVir 7.11.14.60 2011.08.31 -
Antiy-AVL 2.0.3.7 2011.09.01 -
Avast 4.8.1351.0 2011.08.31 -
Avast5 5.0.677.0 2011.08.31 -
AVG 10.0.0.1190 2011.09.01 -
BitDefender 7.2 2011.09.01 -
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.31 -
ClamAV 0.97.0.0 2011.09.01 -
Commtouch 5.3.2.6 2011.09.01 -
Comodo 9947 2011.09.01 -
DrWeb 5.0.2.03300 2011.09.01 -
Emsisoft 5.1.0.11 2011.09.01 -
eSafe 7.0.17.0 2011.08.31 -
eTrust-Vet 36.1.8533 2011.08.31 -
F-Prot 4.6.2.117 2011.08.31 -
F-Secure 9.0.16440.0 2011.09.01 -
Fortinet 4.3.370.0 2011.08.31 -
GData 22 2011.09.01 -
Ikarus T3.1.1.107.0 2011.09.01 -
Jiangmin 13.0.900 2011.08.31 -
K7AntiVirus 9.111.5077 2011.08.31 -
Kaspersky 9.0.0.837 2011.09.01 -
McAfee 5.400.0.1158 2011.09.01 PWS-Zbot.gen.hb
McAfee-GW-Edition 2010.1D 2011.08.31 PWS-Zbot.gen.hb
Microsoft 1.7604 2011.09.01 -
NOD32 6426 2011.09.01 -
Norman 6.07.10 2011.08.31 -
nProtect 2011-09-01.01 2011.09.01 -
Panda 10.0.3.5 2011.08.31 -
PCTools 8.0.0.5 2011.09.01 -
Prevx 3.0 2011.09.01 -
Rising 23.73.01.03 2011.08.30 -
Sophos 4.68.0 2011.09.01 -
SUPERAntiSpyware 4.40.0.1006 2011.09.01 -
Symantec 20111.2.0.82 2011.09.01 -
TheHacker 6.7.0.1.287 2011.09.01 -
TrendMicro 9.500.0.1008 2011.08.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.09.01 -
VBA32 3.12.16.4 2011.08.31 -
VIPRE 10334 2011.09.01 -
ViRobot 2011.9.1.4650 2011.09.01 -
VirusBuster 14.0.195.0 2011.08.31 -
Additional informationShow all
MD5   : 63799f6bd380e8ec0308fd08833b6b4a
SHA1  : d7d7b78e8a953d090b1877fa461a927472c346ea
SHA256: e1d6dd96e3ca969d69537e4d2937eacfdcbab5ee1f541901a812d66b55538edd

Sur Statsaholic, les sites sont gratifiés de 20K à 80K visiteurs uniques !

Du côté de Alexa, les 3 sites (admirez comment les courbes se superposent) ont un Alexa Global Ranking qui tourne autour de 20k, crackzone.net (jerwarez.nl) est monté à 5000 en Alexa Global Ranking.

Les sites sont en perte de vitesse dernièrement, mais crackguru fait une remonté, ben oui y a ZAccess tout nouveau à refourguer là où les AV sont à la rue pour le désinfecter.

Bref les vieilles recettes marchent toujours aussi bien, avec des internautes qui téléchargent tout et n’importe quoi, le nombre de PC infectés rien qu’avec ces sites doit être assez conséquents.

Et même quand on réfléchit….

Je vous vois venir vous allez encore dire Malekal il tape sur ceux qui téléchargent des cracks sans réfléchir ! bha ouais !
Mais là où c’est vraiment bête, c’est que même ceux qui font attention, ben ils peuvent se faire avoir.

VT 2/44 – le gars va se dire « bon c’est les AV qui font encore chier à détecter des cracks » ben oui 2/44 c’est pas beaucoup !

Maintenant regardons les modules d’évalutions de sites WEB des AV (qui pour moi pour la pluspart, sont juste des évaluateurs marketting – juste pour dire qu’on a module qui fait ça, aucun sérieux derrière).
Je vous rappel que ces sites sont connus depuis des mois !

Norton 1/3 dont 2 en clean – yeah… !!!

SiteAdvisor de McAfee (avec lequel j’ai eu des déboires) – 1/3 dont un non évalué (super) et un clean (encore mieux) – reyeaahhh!

Et du côté de VT… 2/10 pour deux et 1/10 pour un – tripleyeahhh!! on notera le 100% de Trend-Micro qui est le seul à proposer un vrai évaluateur de sites (pour ça que j’en avais parlé durant le comparatif des antivirus gratuits).

Tentative d’explication : J’imagine que dans le cas de Norton et SiteAdvisor ils ont un crawler avec quelques IPs connues des auteurs de malwares, rien n’empêche pour ces IP de renvoyer un téléchargement valide.
A se demander si les éditeurs d’antivirus ont des personnes qui surfent parfois…

Il y a quand même SiteAdvisor qui colle un site comme clean et Norton deux sites comme clean, au final, ces évaluations font plus de mal que de bien !

Conclusion

Quand je vous dis qu’il ne faut pas télécharger des cracks, quand on sait pas faire la différence entre un vrai et un faux… et là j’entends pas utiliser les machins de scans des AV car comme vous pouvez le voir, vous allez plutôt en conclure que c’est clean alors que pas du tout!
Evitez les cracks ! 

 

EDIT Avril 2012

Un autre :

www.crackinn.com has address 188.95.53.7

A noter que les autres sites de cracks sont maintenant sur la même range :
keygendb.com has address 188.95.53.6
cracksguru.com has address 188.95.53.19

https://www.virustotal.com/url/19ec2f78eb3f5ab4c0ab7562f76697f6762f08f26af53a891c4755668f181c39/analysis/1334140477/

Normalized URL: http://www.crackinn.com/
Detection ratio: 0 / 19
Analysis date: 2012-04-11 10:34:37 UTC ( 0 minute ago )

Les téléchargements se font sur l’adresse getfreemediaonline.com (204.12.242.205)

https://www.virustotal.com/url/8ceaa2b94f76011c46c3616384c70ca07c278ff4bd7e983a16630aa87586e402/analysis/1334141621/

Normalized URL: http://getfreemediaonline.com/
Detection ratio: 0 / 25
Analysis date: 2012-04-11 10:53:41 UTC ( 0 minute ago )

 

La charte graphique ressemble aux autres sites de cracks :

On peux obtenir un binaire qui propose le programme Media Finder avec la PUPs Babylon

http://www3.malekal.com/malwares/index.php?hash=0c3905fdf1ac38aefadd9297cec103ae

https://www.virustotal.com/file/8ee72c4a1981f5515f8d7284b55d21196b0ad040ca7dbde7c3f2d3569849974b/analysis/

AhnLab-V3 Adware/Win32.BundleInstaller 20120410
AntiVir APPL/MediaFinder.1.163 20120411
Avast Win32:TheMediaFinder-C [PUP] 20120411
BitDefender Gen:Variant.Application.MediaFinder.1 20120411
Comodo Application.Win32.AdWare.MFinder.AS 20120411
Emsisoft Riskware.MediaFinder!IK 20120411
eSafe Win32.GenVariant.App 20120408
F-Secure Gen:Variant.Application.MediaFinder.1 20120411
Fortinet Adware/MediaFinder 20120411
GData Gen:Variant.Application.MediaFinder.1 20120411
Ikarus not-a-virus:MediaFinder 20120411
K7AntiVirus Riskware 20120410
NOD32 a variant of Win32/Adware.MediaFinder.C 20120411
Rising AdWare.Win32.MediaFinder.a 20120411
TrendMicro TROJ_SPNR.08D612 20120411
TrendMicro-HouseCall TROJ_SPNR.08D612 20120411
VIPRE Trojan.Win32.Generic!BT 20120411

Mais on peux aussi obtenir un binaire qui installe le malware ZeroAccess/Sirefef : http://www3.malekal.com/malwares/index.php?hash=2d94adf98481fac348177197da329fa0

 

http://www.virustotal.com/latest-report.html?resource=15456d651add309b826d45173291ff09631f68b4
SHA256: ac8a71a1e2bd4a40069992668a9dcdac6dda21b590f079374817b7ebf7beed46
File name: 2d94adf98481fac348177197da329fa0
Detection ratio: 6 / 42
Analysis date: 2012-04-11 10:47:56 UTC ( 27 minutes ago )

AhnLab-V3 Trojan/Win32.ZeroAccess 20120410
Avast Win32:Sirefef-TA [Trj] 20120411
GData Win32:Sirefef-TA 20120411
Kaspersky HEUR:Trojan.Win32.Generic 20120411
NOD32 a variant of Win32/Kryptik.ADWD 20120411


Connexions HTTP du malware qui va ensuite lancer Flash Player : http://www.malekal.com/2012/02/01/zeroaccess-social-engeenering-contre-luac-via-adobe-flash/

 

EDIT – Septembre 2015 : les sites de cracks reprennent du service

Pendant qu’un utilisateur a désactivé son antivirus pour lancer un crack malicieux, pour au final, se faire dépouiller son compte Paypal.
D’autre ont des plantages dwm.exe sur Windows 10

Le malware en question :

C:\Users\Thierry\AppData\Local\Temp\\mdi264.dll,dalmat

J’ai reconnu tout de suite, le malware qui se diffuse sur ces sites de cracks.
Jusqu’ici relativement bien détecté, en Trojan.Bitcoin, cela devait tourner à du 16/56 sur VirusTotal, ces derniers semblent avoir repris du service pour contourner les détections antivirus puisqu’on tombe à un magnifique 1 / 56 sur VirusTotal.

crack_malware_8

Le site de téléchargement remonte aussi au niveau du traffic :crack_malware_7

 

Le téléchargement du crack reste le parcours du combattant, mais quand on est dans l’optique de vouloir cracker un logiciel, on a tendance à insister malgré les détections et autres avertissements.

On prend les sites de cracks habituels, allez tiens encore cracksinn.com :

crack_malware

qui conduise à softbase.xyz :crack_malware_2

Ce dernier balance une archive avec un mot de passe.
Celle-ci est d’ailleurs bloqué par Google Chrome :crack_malware_3

qui prévient que le fichier est malveillant, mais dans l’optique d’installer son crack, l’utilisateur risque d’insister :crack_malware_4
L’archive étant protégé par un mot de passe, l’antivirus n’y a pas accès jusqu’à ce que vous tapiez le mot de passe.
Dedans se trouve un .exe et une autre archive auto-extractible.

crack_malware_5

 

A droite, PUP.Amonetize, un installeur de PUPs/Adwares – si vous le lancez, c’est fini, les programmes parasites vont s’installer.
Les boutons Annuler/Décliner ou la croix pour fermer, ne sont là que pour décorer, vous pouvez faire ce que vous voulez, les programmes parasites s’installeront.
La seule manière de ne pas installer est de tuer le processus avec le gestionnaire de tâches.

SHA256:de4692f2c638683e14dcdc521eaf95ba13a107dcead4d5316a7562deb96a4c15
Nom du fichier :keygen__7516_il1713274.exe
Ratio de détection :10 / 55
Date d’analyse :2015-09-11 06:56:02 UTC (il y a 0 minute)
AntivirusRésultatMise à jour
AhnLab-V3PUP/Win32.Amonetize20150910
Baidu-InternationalPUA.Win32.Amonetize.II20150910
DrWebTrojan.Amonetize.680020150911
ESET-NOD32a variant of Win32/Amonetize.II potentially unwanted20150911
FortinetRiskware/Amonetize20150911
K7AntiVirusAdware ( 004cf1471 )20150911
K7GWAdware ( 004cf1471 )20150911
MalwarebytesPUP.Optional.Bundle20150911
Qihoo-360HEUR/QVM10.1.Malware.Gen20150911
SophosGeneric PUA LE (PUA)20150911

A gauche, se trouve une archive auto-extractible toujours protégé par un mot de passe qui installe le Trojan.

crack_malware_9

Une fois lancée, le malware lance le crack et installe le trojan mdi064.dll
crack_malware_6

 

Une détection de la DLL d’il y a quelques jours, la détection reste toujours pas terrible :

HA256:22d2175c9ba2c4f0bba56b92b528edb8b77598d93a4b18eb128f0173165bd593
Nom du fichier :mdi064.dll
Ratio de détection :6 / 56
Date d’analyse :2015-09-11 07:18:23 UTC (il y a 0 minute)
AntivirusRésultatMise à jour
AVwareWin32.Malware!Drop20150911
DrWebTrojan.Packed20150911
K7AntiVirusTrojan ( 0001140e1 )20150911
K7GWTrojan ( 0001140e1 )20150911
MalwarebytesTrojan.Inject20150911
VIPREWin32.Malware!Drop20150911

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 217 times, 2 visits today)

5 thoughts on “Faux site de crack : ça marche encore bien

  1. http://blogs.mcafee.com/mcafee-labs/who-digs-the-elephant-trap

    Et même sans ces sites la qui sont des usines.. ya les sites « wawa » …

    Les fausses alertes font le jeu des vrai malwares…Facile de crier à la fausse alerte pour un malandrin qui a posé une vraie saleté.. Vu que même les antivirus se plantent.

    Moralité : …Les cracks, cay le mal

    Ah, et pour les analyses web..Si le code de ses sites est clean, ya rien de surprenant a mon avis a avoir une non détection..

    Si le moteur d’analyse de site malveillant gère mal les referer ou les cookies qui permettent de télécharger les zip vérolés…ils n’a pas accès aux fichiers..ou alors comme tu l’évoque, blacklist d’ip.

    Mais si les site pourris sont la même ip, ya un truc qui tourne pas rond

  2. bha à la limite qu’un AV détecte des cracks qui en sont, ça me choque pas, y en a qui utilisent des packers qui peuvent être utilisé par des autres de malwares, d’autres qui ont du code qui patche..
    Vont aller faire des exceptions pour ça sinon ils ont pas fini.

    Ah, et pour les analyses web..Si le code de ses sites est clean, ya rien de surprenant a mon avis a avoir une non détection.

    Je suis d’accord, mais je pense pas que tu peux pas faire de l’évaluation à partir de l’analyse de code.
    En plus, si tu prends siteadvisor, ça génère des faux positif, mon site en a fait les frais.

    Pour terminer, ça ne protège pas du tout des sites contre les exploits.
    Le crawler est trop lent pour enregistrer tous les sites hackés qui vont vers des exploits, ça bouge trop vite (corrections, nouveaux sites, d’autres qui disparaissent).
    Faut un évaluateur super actif, sinon tu laisses des sites corrigés en malicieux.
    Et de toute façon, je pense pas que siteadvisor etc font ça.

    Les domaines des exploits maintenant que les AV ont tous des webguard bougent aussi trop vite, donc on en revient au mm prob que pour les droppers, ils arrivent pas à suivre.

    Le plus petits dénominateurs communs, c’est l’IP, là où Clear Cloud DNS était pas trop mauvais.

    Au final, ces évaluateurs de site sont là que pour évaluer le contenu mais ils servent casi à rien…
    Si tu prends les LPI, les m*rdes génantes, comme Eorezo et autres arnaques etc ne sont pas ajoutées car considérés comme OK par les AV car derrière c’est des entreprises commerciales.
    Là sur ces sites de cracks, ils font pas leurs boulots alors que le site existe depuis des mois.
    Ils devraient avoir des personnes en interne, qui cherche des malwares, et qui auraient dû tomber dessus depuis longtemps ou se reposer sur une communauté (comme fait Avast! ou Wot) ou un mix des deux.
    Sont trop axés sur la remontés automatique par des honeypot ou les clients, du coup, ils loupent plein de trucs.

    Ces évaluateurs servent à rien à part côté marketting, l’utilisateur croit que les AV évalue les sites et fera une alerte sur un site malicieux alors que c’est pas du tout le cas.
    Ca rassure.

  3. Bonjour,

    Excellent ton humour pour les modules d’évaluations :

    Norton 1/3 dont 2 en clean – yeah… !!!

    SiteAdvisor de McAfee 1/3 dont un non évalué (super) et un clean (encore mieux) – reyeaahhh!

    Et du côté de VT… 2/10 pour deux et 1/10 pour un – tripleyeahhh!!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *