Kmspico / KMSAuto et les trojans

Kmspico est un outil de piratage qui permet d’activer des logiciels Microsoft comme Windows et Office.
Ce dernier est détecté en Hacktool ou Win32/AutoKMS par les éditeurs d’antivirus dont Microsoft ce qui va de soit :

SHA256: 6420b33ab894274d45e7140ef8b51751bfdf7015609155ea78c599abae99967f
File name: KMSELDI.exe
Detection ratio: 13 / 56
Analysis date: 2016-05-03 11:08:45 UTC ( 3 weeks ago )
Antivirus Result Update
AVware Trojan.Win32.Generic!BT 20160503
Antiy-AVL Trojan/Win32.BTSGeneric 20160503
Avast Other:PUP-gen [PUP] 20160503
ESET-NOD32 a variant of MSIL/HackTool.IdleKMS.C potentially unsafe 20160503
GData Win32.Application.Agent.NMVC0D 20160503
K7AntiVirus Unwanted-Program ( 004d4d631 ) 20160502
K7GW Unwanted-Program ( 004d4d631 ) 20160503
McAfee Artemis!53713D4DB89B 20160503
McAfee-GW-Edition BehavesLike.Win32.PUP.th 20160503
Microsoft HackTool:Win32/AutoKMS 20160503
Sophos KMS Activator (PUA) 20160503
Symantec Trojan.Gen.2 20160503
VIPRE Trojan.Win32.Generic!BT 20160503

 

Hacktool.AutoKMS

Kmpisco est assez populaire, comme tous ces cracks, certains profitent de la situation pour tenter de pousser des malwares.
Tout comme il existe de faux sites KickAssTorrents, de faux sites proposant KMSPico ont été mis en ligne et qui sont diablement bien placés sur Google :

Kmspico_Trojans

Ces sites se ressemblent… Pourquoi se casser la tête ?
Kmspico_Trojans_4 Kmspico_Trojans_3 Kmspico_Trojans_2

Ces derniers mènent systématiquement à la plateforme de programmes indésirables et adwares : Amonetize
Et pire pour certains qui mènent en plus à des Trojans, j’ai fait une vidéo :

Sur la vidéo, le Trojan installé est Boaxxe :

SHA256: 34bb6d3cd5efa256caf885940b23f0ee06fe181fe95a85a772d2f26ae600b7c9
File name: 72ac6c9aa9efaea7313947655b4b7023.exe
Detection ratio: 19 / 56
Analysis date: 2016-05-24 13:10:08 UTC ( 6 hours, 47 minutes ago )
Antivirus Result Update
AVG Inject3.AQUC 20160524
AVware Trojan.Win32.Generic.pak!cobra 20160524
AegisLab Inject3.Aquc.Gen!c 20160524
Avast Win32:Malware-gen 20160524
Avira (no cloud) TR/Agent.mlqw 20160524
DrWeb Trojan.Boaxxe.484 20160524
ESET-NOD32 Win32/Boaxxe.EJ 20160524
Fortinet W32/Injector.CYKT!tr 20160524
GData Win32.Trojan.Agent.IUIVTW 20160524
Ikarus Trojan.Win32.Injector 20160524
K7AntiVirus Trojan ( 004de0511 ) 20160524
K7GW Trojan ( 004de0511 ) 20160524
Malwarebytes Trojan.Kovter 20160524
McAfee Artemis!72AC6C9AA9EF 20160524
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160524
Microsoft Trojan:Win32/Dynamer!ac 20160524
Rising Malware.Undefined!8.C-ZihdbJhmqeM (Cloud) 20160524
Sophos Mal/Generic-S 20160524
VIPRE Trojan.Win32.Generic.pak!cobra 20160524

On trouve d’autres plateformes de programmes indésirables/Adwares dont le malicieux ShopperZ et MPC Cleaner

Kmspico_Trojans_bundle_adwares

Quelques autres faux sites liés à KMSPico :

198.143.129.108 :
http://kmspi.co/
http://microsofttoolkits.com/
http://kmspicodownload.com/
http://removewatdownload.net/
http://download.kmspicofinal.com/
http://windows10activatordownload.com/
http://www.kmspi.co/
http://officeactivator.com/
http://download.officeactivator.com/
162.144.20.148 :
www.kmspicoactivator.org
www.windows7activator.org
windows7activator.org
kmspicoactivator.org

Quand on crack, il faut bien choisir ses sites.
Depuis des années et des années, de faux cracks sont mis en lignes pour pousser des malwares, plus d’informations : Le danger des cracks et keygen

EDIT – KMSAuto

Même procédé avec KMSAuto.
Les premières sites en résultat de recherche Google conduisent à des installeurs malicieux.

kmsauto-faux-site_trojan

Print Friendly
(Visité 3 592 fois, 6 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet