Trojan : Faux enregistrement/activation de Windows

Le principe n’est pas nouveau puisqu’en 2007, j’avais fait un topic sur ce malware Trojan.Kardphisher se fait passer pour activation Windows

Néanmoins sur ce sujet de CCM, un internaute a posté dessus : http://www.commentcamarche.net/forum/affich-22556748-probleme-windows-7#newanswer

et au même moment, une de mes VM l’a aussi télécharger : https://forum.malekal.com/trojan-kardphisher-fait-passer-pour-activation-windows-t3342.html#p22496

Il semble donc qu’une campagne aie lieu pour ce malware, une petite piqure de rappel est donc la bienvenue !

 

Pour rappel, l’enregistrement de Windows permet de valider son Windows auprès de Microsoft afin de s’assurer que vous avez une copie légale. Une fois Windows installé, vous avez 30 jours pour enregistrer votre Windows, soit par téléphone, soit par internet. Ceci est décrit sur les pages suivantes :

Windows a été payé avant (soit à l’achat du nouveau PC si fourni avec, soit en magasin), l’enregistrement n’est qu’une validation de la licence : à aucun moment lors du processus d’enregistrement de Windows, vous devez donner des informations bancaires, si c’est le cas, l’enregistrement est un faux.

Description de l’infection

Voici les étapes du dropper

Ce dernier créé une clef Run pour se lancer à chaque démarrage – cela signifie qu’il ne sera pas actif en mode sans échec :

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: User AutoRun
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run

Puis se copie sous le fichier %APPDATA%\services.exe

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: User AutoRun
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
   Registry value: Windows Activation
      Type: REG_SZ
      Value: C:\Documents and Settings\Mak\Application Data\services.exe

Ensuite le malware insalle une séries de policies qui permet de désactiver la restauration du système, supprimer le bouton arreter du menu Arreter etc.

 

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableTaskMgr
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableLockWorkstation
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableChangePassword
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
   Registry value: DisableSR
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableRegistryTools
      Type: REG_DWORD
      Value: 00000001

 

Les messages reprennent bien les écrans de Windows pour tromper l’utilisateur, comme le montre la phrase en gras, il est dit que vous devez saisir vos informations bancaires afin de pouvoir activer/enregistrer votre copie de Windows, c’est bien sûr un moyen de récupérer vos identifiants bancaires.

La seconde étape vous demandent vos informations bancaires

Le malware kill le processus explorer.exe afin de faire disparaître le menu Démarrer.
Il est impossible de déplacer la fausse fenêtre d’activation de Windows.
En quelque sorte, c’est un ransomware.
A noter que dans le cas d’une exécution sur Windows 7, le malware garde le skin de l’activation de Windows XP

 

 

La détection du malware :

File name: 8a5cbfc562c3d6f1384ab46b06e0ddbf
 Submission date: 2011-07-07 17:11:56 (UTC)
 Current status: finished
 Result: 10 /43 (23.3%)
Antivirus     Version     Last Update     Result
 AhnLab-V3     2011.07.07.01     2011.07.07     -
 AntiVir     7.11.11.27     2011.07.07     TR/VB.Downloader.Gen
 Antiy-AVL     2.0.3.7     2011.07.07     -
 Avast     4.8.1351.0     2011.07.07     -
 Avast5     5.0.677.0     2011.07.07     -
 AVG     10.0.0.1190     2011.07.07     -
 BitDefender     7.2     2011.07.07     Gen:Trojan.Heur.VP.dmKfaydwSWmi
 CAT-QuickHeal     11.00     2011.07.07     -
 ClamAV     0.97.0.0     2011.07.07     -
 Commtouch     5.3.2.6     2011.07.07     -
 Comodo     9303     2011.07.07     -
 DrWeb     5.0.2.03300     2011.07.07     -
 Emsisoft     5.1.0.8     2011.07.07     Trojan.SuspectCRC!IK
 eSafe     7.0.17.0     2011.07.07     -
 eTrust-Vet     None     2011.07.07     -
 F-Prot     4.6.2.117     2011.07.07     -
 F-Secure     9.0.16440.0     2011.07.07     Gen:Trojan.Heur.VP.dmKfaydwSWmi
 Fortinet     4.2.257.0     2011.07.07     -
 GData     22     2011.07.07     Gen:Trojan.Heur.VP.dmKfaydwSWmi
 Ikarus     T3.1.1.104.0     2011.07.07     Trojan.SuspectCRC
 Jiangmin     13.0.900     2011.07.07     -
 K7AntiVirus     9.107.4883     2011.07.07     -
 Kaspersky     9.0.0.837     2011.07.07     -
 McAfee     5.400.0.1158     2011.07.07     -
 McAfee-GW-Edition     2010.1D     2011.07.07     Heuristic.BehavesLike.Win32.Downloader.A
 Microsoft     1.7000     2011.07.07     -
 NOD32     6272     2011.07.07     probably unknown NewHeur_PE
 Norman     6.07.10     2011.07.07     -
 nProtect     2011-07-07.01     2011.07.07     -
 Panda     10.0.3.5     2011.07.07     -
 PCTools     8.0.0.5     2011.07.07     -
 Prevx     3.0     2011.07.07     -
 Rising     23.65.03.03     2011.07.07     -
 Sophos     4.67.0     2011.07.07     Mal/VB-A
 SUPERAntiSpyware     4.40.0.1006     2011.07.07     Trojan.Agent/Gen-Koobface[Bonkers]
 Symantec     20111.1.0.186     2011.07.07     -
 TheHacker     6.7.0.1.248     2011.07.07     -
 TrendMicro     9.200.0.1012     2011.07.07     -
 TrendMicro-HouseCall     9.200.0.1012     2011.07.07     -
 VBA32     3.12.16.4     2011.07.07     -
 VIPRE     9794     2011.07.07     -
 ViRobot     2011.7.7.4556     2011.07.07     -
 VirusBuster     14.0.114.0     2011.07.07     -
 Additional information
 MD5   : 8a5cbfc562c3d6f1384ab46b06e0ddbf
 SHA1  : 427f62462fc16e5251f399d676f20208aaa4325b
 SHA256: 7634c8c65d41d2c0fc695f8ef7d4e0a7dabb3aeb8d99adbfbc96dfd339725883

Désinfection

Contrairement à d’autres ransomwares comme par exemple celui-ci :Ransomware : plugin erreur critique 0×00874324 où vous êtes obligé de démarrer sur un OS alternatif pour reprendre la main.
Le fait que celui-ci se charge par une clef Run le rend inactif en mode sans échec.
Dès lors vous pouvez démarrer en mode sans échec avec prise en charge du réseau, pour cela : Redémarre l’ordinateuz, après le changement du premier écran et avant le logo Windows, tapotez sur la touche F8, un menu va apparaître, choisissez Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.

Faites un scan avec Malwarebyte qui devrait vous en débarrasser : Tutorial MalwareByte Anti-Malware

Print Friendly, PDF & Email
(Visité 673 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet