Trojan : Faux enregistrement/activation de Windows

Le principe n’est pas nouveau puisqu’en 2007, j’avais fait un topic sur ce malware Trojan.Kardphisher se fait passer pour activation Windows

Néanmoins sur ce sujet de CCM, un internaute a posté dessus : http://www.commentcamarche.net/forum/affich-22556748-probleme-windows-7#newanswer

et au même moment, une de mes VM l’a aussi télécharger : http://forum.malekal.com/trojan-kardphisher-fait-passer-pour-activation-windows-t3342.html#p22496

Il semble donc qu’une campagne aie lieu pour ce malware, une petite piqure de rappel est donc la bienvenue !

 

Pour rappel, l’enregistrement de Windows permet de valider son Windows auprès de Microsoft afin de s’assurer que vous avez une copie légale. Une fois Windows installé, vous avez 30 jours pour enregistrer votre Windows, soit par téléphone, soit par internet. Ceci est décrit sur les pages suivantes :

Windows a été payé avant (soit à l’achat du nouveau PC si fourni avec, soit en magasin), l’enregistrement n’est qu’une validation de la licence : à aucun moment lors du processus d’enregistrement de Windows, vous devez donner des informations bancaires, si c’est le cas, l’enregistrement est un faux.

Description de l’infection

Voici les étapes du dropper

Ce dernier créé une clef Run pour se lancer à chaque démarrage – cela signifie qu’il ne sera pas actif en mode sans échec :

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: User AutoRun
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run

Puis se copie sous le fichier %APPDATA%\services.exe

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: User AutoRun
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
   Registry value: Windows Activation
      Type: REG_SZ
      Value: C:\Documents and Settings\Mak\Application Data\services.exe

Ensuite le malware insalle une séries de policies qui permet de désactiver la restauration du système, supprimer le bouton arreter du menu Arreter etc.

 

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableTaskMgr
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableLockWorkstation
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableChangePassword
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
   Registry value: DisableSR
      Type: REG_DWORD
      Value: 00000001

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\wind[1].exe
   PID: 3192
   Information:  (Windows XP)
Registry Group: System
Object:
   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Registry value: DisableRegistryTools
      Type: REG_DWORD
      Value: 00000001

 

Les messages reprennent bien les écrans de Windows pour tromper l’utilisateur, comme le montre la phrase en gras, il est dit que vous devez saisir vos informations bancaires afin de pouvoir activer/enregistrer votre copie de Windows, c’est bien sûr un moyen de récupérer vos identifiants bancaires.

La seconde étape vous demandent vos informations bancaires

Le malware kill le processus explorer.exe afin de faire disparaître le menu Démarrer.
Il est impossible de déplacer la fausse fenêtre d’activation de Windows.
En quelque sorte, c’est un ransomware.
A noter que dans le cas d’une exécution sur Windows 7, le malware garde le skin de l’activation de Windows XP

 

 

La détection du malware :

File name: 8a5cbfc562c3d6f1384ab46b06e0ddbf
 Submission date: 2011-07-07 17:11:56 (UTC)
 Current status: finished
 Result: 10 /43 (23.3%)
Antivirus     Version     Last Update     Result
 AhnLab-V3     2011.07.07.01     2011.07.07     -
 AntiVir     7.11.11.27     2011.07.07     TR/VB.Downloader.Gen
 Antiy-AVL     2.0.3.7     2011.07.07     -
 Avast     4.8.1351.0     2011.07.07     -
 Avast5     5.0.677.0     2011.07.07     -
 AVG     10.0.0.1190     2011.07.07     -
 BitDefender     7.2     2011.07.07     Gen:Trojan.Heur.VP.dmKfaydwSWmi
 CAT-QuickHeal     11.00     2011.07.07     -
 ClamAV     0.97.0.0     2011.07.07     -
 Commtouch     5.3.2.6     2011.07.07     -
 Comodo     9303     2011.07.07     -
 DrWeb     5.0.2.03300     2011.07.07     -
 Emsisoft     5.1.0.8     2011.07.07     Trojan.SuspectCRC!IK
 eSafe     7.0.17.0     2011.07.07     -
 eTrust-Vet     None     2011.07.07     -
 F-Prot     4.6.2.117     2011.07.07     -
 F-Secure     9.0.16440.0     2011.07.07     Gen:Trojan.Heur.VP.dmKfaydwSWmi
 Fortinet     4.2.257.0     2011.07.07     -
 GData     22     2011.07.07     Gen:Trojan.Heur.VP.dmKfaydwSWmi
 Ikarus     T3.1.1.104.0     2011.07.07     Trojan.SuspectCRC
 Jiangmin     13.0.900     2011.07.07     -
 K7AntiVirus     9.107.4883     2011.07.07     -
 Kaspersky     9.0.0.837     2011.07.07     -
 McAfee     5.400.0.1158     2011.07.07     -
 McAfee-GW-Edition     2010.1D     2011.07.07     Heuristic.BehavesLike.Win32.Downloader.A
 Microsoft     1.7000     2011.07.07     -
 NOD32     6272     2011.07.07     probably unknown NewHeur_PE
 Norman     6.07.10     2011.07.07     -
 nProtect     2011-07-07.01     2011.07.07     -
 Panda     10.0.3.5     2011.07.07     -
 PCTools     8.0.0.5     2011.07.07     -
 Prevx     3.0     2011.07.07     -
 Rising     23.65.03.03     2011.07.07     -
 Sophos     4.67.0     2011.07.07     Mal/VB-A
 SUPERAntiSpyware     4.40.0.1006     2011.07.07     Trojan.Agent/Gen-Koobface[Bonkers]
 Symantec     20111.1.0.186     2011.07.07     -
 TheHacker     6.7.0.1.248     2011.07.07     -
 TrendMicro     9.200.0.1012     2011.07.07     -
 TrendMicro-HouseCall     9.200.0.1012     2011.07.07     -
 VBA32     3.12.16.4     2011.07.07     -
 VIPRE     9794     2011.07.07     -
 ViRobot     2011.7.7.4556     2011.07.07     -
 VirusBuster     14.0.114.0     2011.07.07     -
 Additional information
 MD5   : 8a5cbfc562c3d6f1384ab46b06e0ddbf
 SHA1  : 427f62462fc16e5251f399d676f20208aaa4325b
 SHA256: 7634c8c65d41d2c0fc695f8ef7d4e0a7dabb3aeb8d99adbfbc96dfd339725883

Désinfection

Contrairement à d’autres ransomwares comme par exemple celui-ci :Ransomware : plugin erreur critique 0×00874324 où vous êtes obligé de démarrer sur un OS alternatif pour reprendre la main.
Le fait que celui-ci se charge par une clef Run le rend inactif en mode sans échec.
Dès lors vous pouvez démarrer en mode sans échec avec prise en charge du réseau, pour cela : Redémarre l’ordinateuz, après le changement du premier écran et avant le logo Windows, tapotez sur la touche F8, un menu va apparaître, choisissez Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.

Faites un scan avec Malwarebyte qui devrait vous en débarrasser : Tutorial MalwareByte Anti-Malware

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 232 times, 1 visits today)

4 thoughts on “Trojan : Faux enregistrement/activation de Windows

  1. Bonjour,

    Je ne sais pas si je poste au bon endroit ???

    Votre article m’intéresse car j’ai été contaminée par ce trojan. J’ai donc installé MalawareByte. J’ai fait une analyse et voici le rapport que j’ai enregistré avant d’effectuer une action. Quelqu’un pourrait-il m’indiquer ce qui doit etre supprimé de ce qui ne doit pas l’etre ?
    Merci pour votre aide

    Malwarebytes’ Anti-Malware 1.51.2.1300
    http://www.malwarebytes.org

    Version de la base de données: 7770

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    22/09/2011 17:30:21
    mbam-log-2011-09-22 (17-30-21).txt

    Type d’examen: Examen complet (C:\|D:\|F:\|)
    Elément(s) analysé(s): 371721
    Temps écoulé: 58 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 3
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 12

    Processus mémoire infecté(s):
    c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 1392 -> Not selected for removal.
    c:\Users\Nathalie\AppData\Roaming\Winlogon\Winlog.exe (Malware.Trace) -> 4092 -> Not selected for removal.
    c:\Users\Nathalie\AppData\Roaming\Winlogon\Winlog.exe (Malware.Trace) -> 2064 -> Not selected for removal.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Not selected for removal.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Activation (Backdoor.Agent) -> Value: Windows Activation -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon (Malware.Trace) -> Value: Winlogon -> Not selected for removal.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Roaming\services.exe (Backdoor.Agent) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\ZQV8O1RI\wind[1].exe (Backdoor.Agent) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Local\Temp\1778.exe (Backdoor.Agent) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Roaming\csrss.exe (Backdoor.IRCBot.Gen) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Roaming\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Not selected for removal.
    f:\Users\claude\Desktop\Crack\removewat.exe (HackTool.Wpakill) -> Not selected for removal.
    f:\WPI\Crack\removewat.exe (HackTool.Wpakill) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Local\Temp\pws_cdk.bss (Stolen.Data) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Local\Temp\pws_mail.bss (Stolen.Data) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Local\Temp\pws_mess.bss (Stolen.Data) -> Not selected for removal.
    c:\Users\Nathalie\AppData\Roaming\Winlogon\Winlog.exe (Malware.Trace) -> Not selected for removal.

    Merci d’avance pour votre aide.

    Nathalie

  2. Merci Malekalmorte pour ta réponse très rapide.

    En effet, lors de ce rapport je n’avais encore rien supprimé, de peur d’enlever quelque chose qu’il ne fallait pas.

    Puis j’ai décoché l’ensemble et ai uniquement coché le trojan pour faire un test et je l’ai supprimé. Lorsque j’ai vu que çà allait direct en quarantaine, j’ai procédé de la même manière pour le reste. Puis j’ai redémarré et la fenêtre de « windows activate » n’est pas réapparue.

    Je vais consulté le lien que tu m’as fournie et je t’en remercie.

    Cordialement

    Nathalie

  3. Merci beaucoup Malekalmorte, tout a marché du premier coup.
    A peine 2h entre l’infection et la guérison, on en redemanderai presque !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *