Menu Fermer

Faux site de crack : ça marche encore bien

A l’heure où les sujets ZAccess / Sereref commencent à exploser sur les forums de désinfection.
Un petit mot concernants quelques sites faux sites de cracks, ces derniers existent depuis plusieurs mois, au départ, ils droppaient du TDSS dernièrement du ZAccess puisque c’est le nouveau malware à la mode.
Tous les cracks proposés sont des droppers.

Les trois sites en questions :

keygendb.com - 188.95.48.109 (NL)
crackzone.net - 89.248.165.139 (BE)
cracksguru.com - 188.95.53.19 (NL)

Comme on peux le voir les sites se ressemblent :

Des sites vitrines

Le téléchargement des cracks pointent tous sur la même adresse : http://load.keygendb.net/crack/get_crack.php?ID – 111.221.47.133 (SG)
C’est à dire que tous les cracks lancent le téléchargement d’un script sur load.keygendb.net qui compile le droppe sous forme de Zip avec un fichier note comme souvent on trouve sur les cracks.
Bref faire croire que c’est un vrai crack.

et ça marche…

Les trois sites sont donc des sites vitrines, le but est de produire une base de données de cracks, lors d’une recherche sur un site cracks annuaires type (keygenguru.com) ou depuis Google.
Le quidam lambda cherche son crack, arrive sur ce site, réfléchis pas, clic, lance le crack qui est un dropper et le PC est infecté (sauf si l’antivirus warn).

mais bon là comptez pas là dessus, car comme vous le savez jeu du chat et de la souris et les droppers sont constamment mis à jour pour échaper aux détection.
Ce  qui donne par exemple la détection pour ce matin : http://www.virustotal.com/file-scan/report.html?id=e1d6dd96e3ca969d69537e4d2937eacfdcbab5ee1f541901a812d66b55538edd-1314863980

File name: Codelobster_Php_Edition_3_serials_generator_by_F4CG.exe
Submission date: 2011-09-01 07:59:40 (UTC)
Current status: finished
Result: 2 /44 (4.5%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.31.01 2011.08.31 -
AntiVir 7.11.14.60 2011.08.31 -
Antiy-AVL 2.0.3.7 2011.09.01 -
Avast 4.8.1351.0 2011.08.31 -
Avast5 5.0.677.0 2011.08.31 -
AVG 10.0.0.1190 2011.09.01 -
BitDefender 7.2 2011.09.01 -
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.31 -
ClamAV 0.97.0.0 2011.09.01 -
Commtouch 5.3.2.6 2011.09.01 -
Comodo 9947 2011.09.01 -
DrWeb 5.0.2.03300 2011.09.01 -
Emsisoft 5.1.0.11 2011.09.01 -
eSafe 7.0.17.0 2011.08.31 -
eTrust-Vet 36.1.8533 2011.08.31 -
F-Prot 4.6.2.117 2011.08.31 -
F-Secure 9.0.16440.0 2011.09.01 -
Fortinet 4.3.370.0 2011.08.31 -
GData 22 2011.09.01 -
Ikarus T3.1.1.107.0 2011.09.01 -
Jiangmin 13.0.900 2011.08.31 -
K7AntiVirus 9.111.5077 2011.08.31 -
Kaspersky 9.0.0.837 2011.09.01 -
McAfee 5.400.0.1158 2011.09.01 PWS-Zbot.gen.hb
McAfee-GW-Edition 2010.1D 2011.08.31 PWS-Zbot.gen.hb
Microsoft 1.7604 2011.09.01 -
NOD32 6426 2011.09.01 -
Norman 6.07.10 2011.08.31 -
nProtect 2011-09-01.01 2011.09.01 -
Panda 10.0.3.5 2011.08.31 -
PCTools 8.0.0.5 2011.09.01 -
Prevx 3.0 2011.09.01 -
Rising 23.73.01.03 2011.08.30 -
Sophos 4.68.0 2011.09.01 -
SUPERAntiSpyware 4.40.0.1006 2011.09.01 -
Symantec 20111.2.0.82 2011.09.01 -
TheHacker 6.7.0.1.287 2011.09.01 -
TrendMicro 9.500.0.1008 2011.08.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.09.01 -
VBA32 3.12.16.4 2011.08.31 -
VIPRE 10334 2011.09.01 -
ViRobot 2011.9.1.4650 2011.09.01 -
VirusBuster 14.0.195.0 2011.08.31 -
Additional informationShow all
MD5   : 63799f6bd380e8ec0308fd08833b6b4a
SHA1  : d7d7b78e8a953d090b1877fa461a927472c346ea
SHA256: e1d6dd96e3ca969d69537e4d2937eacfdcbab5ee1f541901a812d66b55538edd

Sur Statsaholic, les sites sont gratifiés de 20K à 80K visiteurs uniques !

Du côté de Alexa, les 3 sites (admirez comment les courbes se superposent) ont un Alexa Global Ranking qui tourne autour de 20k, crackzone.net (jerwarez.nl) est monté à 5000 en Alexa Global Ranking.

Les sites sont en perte de vitesse dernièrement, mais crackguru fait une remonté, ben oui y a ZAccess tout nouveau à refourguer là où les AV sont à la rue pour le désinfecter.

Bref les vieilles recettes marchent toujours aussi bien, avec des internautes qui téléchargent tout et n’importe quoi, le nombre de PC infectés rien qu’avec ces sites doit être assez conséquents.

Et même quand on réfléchit….

Je vous vois venir vous allez encore dire Malekal il tape sur ceux qui téléchargent des cracks sans réfléchir ! bha ouais !
Mais là où c’est vraiment bête, c’est que même ceux qui font attention, ben ils peuvent se faire avoir.

VT 2/44 – le gars va se dire “bon c’est les AV qui font encore chier à détecter des cracks” ben oui 2/44 c’est pas beaucoup !

Maintenant regardons les modules d’évalutions de sites WEB des AV (qui pour moi pour la pluspart, sont juste des évaluateurs marketting – juste pour dire qu’on a module qui fait ça, aucun sérieux derrière).
Je vous rappel que ces sites sont connus depuis des mois !

Norton 1/3 dont 2 en clean – yeah… !!!

SiteAdvisor de McAfee (avec lequel j’ai eu des déboires) – 1/3 dont un non évalué (super) et un clean (encore mieux) – reyeaahhh!

Et du côté de VT… 2/10 pour deux et 1/10 pour un – tripleyeahhh!! on notera le 100% de Trend-Micro qui est le seul à proposer un vrai évaluateur de sites (pour ça que j’en avais parlé durant le comparatif des antivirus gratuits).

Tentative d’explication : J’imagine que dans le cas de Norton et SiteAdvisor ils ont un crawler avec quelques IPs connues des auteurs de malwares, rien n’empêche pour ces IP de renvoyer un téléchargement valide.
A se demander si les éditeurs d’antivirus ont des personnes qui surfent parfois…

Il y a quand même SiteAdvisor qui colle un site comme clean et Norton deux sites comme clean, au final, ces évaluations font plus de mal que de bien !

Conclusion

Quand je vous dis qu’il ne faut pas télécharger des cracks, quand on sait pas faire la différence entre un vrai et un faux… et là j’entends pas utiliser les machins de scans des AV car comme vous pouvez le voir, vous allez plutôt en conclure que c’est clean alors que pas du tout!
Evitez les cracks ! 

EDIT Avril 2012

Un autre :

www.crackinn.com has address 188.95.53.7

A noter que les autres sites de cracks sont maintenant sur la même range :
keygendb.com has address 188.95.53.6
cracksguru.com has address 188.95.53.19

https://www.virustotal.com/url/19ec2f78eb3f5ab4c0ab7562f76697f6762f08f26af53a891c4755668f181c39/analysis/1334140477/

Normalized URL: http://www.crackinn.com/
Detection ratio: 0 / 19
Analysis date: 2012-04-11 10:34:37 UTC ( 0 minute ago )

Les téléchargements se font sur l’adresse getfreemediaonline.com (204.12.242.205)

https://www.virustotal.com/url/8ceaa2b94f76011c46c3616384c70ca07c278ff4bd7e983a16630aa87586e402/analysis/1334141621/

Normalized URL: http://getfreemediaonline.com/
Detection ratio: 0 / 25
Analysis date: 2012-04-11 10:53:41 UTC ( 0 minute ago )

La charte graphique ressemble aux autres sites de cracks :

On peux obtenir un binaire qui propose le programme Media Finder avec la PUPs Babylon

http://www3.malekal.com/malwares/index.php?hash=0c3905fdf1ac38aefadd9297cec103ae
https://www.virustotal.com/file/8ee72c4a1981f5515f8d7284b55d21196b0ad040ca7dbde7c3f2d3569849974b/analysis/

AhnLab-V3 Adware/Win32.BundleInstaller 20120410
AntiVir APPL/MediaFinder.1.163 20120411
Avast Win32:TheMediaFinder-C [PUP] 20120411
BitDefender Gen:Variant.Application.MediaFinder.1 20120411
Comodo Application.Win32.AdWare.MFinder.AS 20120411
Emsisoft Riskware.MediaFinder!IK 20120411
eSafe Win32.GenVariant.App 20120408
F-Secure Gen:Variant.Application.MediaFinder.1 20120411
Fortinet Adware/MediaFinder 20120411
GData Gen:Variant.Application.MediaFinder.1 20120411
Ikarus not-a-virus:MediaFinder 20120411
K7AntiVirus Riskware 20120410
NOD32 a variant of Win32/Adware.MediaFinder.C 20120411
Rising AdWare.Win32.MediaFinder.a 20120411
TrendMicro TROJ_SPNR.08D612 20120411
TrendMicro-HouseCall TROJ_SPNR.08D612 20120411
VIPRE Trojan.Win32.Generic!BT 20120411

Mais on peux aussi obtenir un binaire qui installe le malware ZeroAccess/Sirefef : http://www3.malekal.com/malwares/index.php?hash=2d94adf98481fac348177197da329fa0

http://www.virustotal.com/latest-report.html?resource=15456d651add309b826d45173291ff09631f68b4
SHA256: ac8a71a1e2bd4a40069992668a9dcdac6dda21b590f079374817b7ebf7beed46
File name: 2d94adf98481fac348177197da329fa0
Detection ratio: 6 / 42
Analysis date: 2012-04-11 10:47:56 UTC ( 27 minutes ago )

AhnLab-V3 Trojan/Win32.ZeroAccess 20120410
Avast Win32:Sirefef-TA [Trj] 20120411
GData Win32:Sirefef-TA 20120411
Kaspersky HEUR:Trojan.Win32.Generic 20120411
NOD32 a variant of Win32/Kryptik.ADWD 20120411


Connexions HTTP du malware qui va ensuite lancer Flash Player : https://www.malekal.com/zeroaccess-social-engeenering-contre-luac-via-adobe-flash/

EDIT – Septembre 2015 : les sites de cracks reprennent du service

Pendant qu’un utilisateur a désactivé son antivirus pour lancer un crack malicieux, pour au final, se faire dépouiller son compte Paypal.
D’autre ont des plantages dwm.exe sur Windows 10

Le malware en question :

C:\Users\Thierry\AppData\Local\Temp\\mdi264.dll,dalmat

J’ai reconnu tout de suite, le malware qui se diffuse sur ces sites de cracks.
Jusqu’ici relativement bien détecté, en Trojan.Bitcoin, cela devait tourner à du 16/56 sur VirusTotal, ces derniers semblent avoir repris du service pour contourner les détections antivirus puisqu’on tombe à un magnifique 1 / 56 sur VirusTotal.

crack_malware_8
crack_malware_7

Le site de téléchargement remonte aussi au niveau du traffic :

Le téléchargement du crack reste le parcours du combattant, mais quand on est dans l’optique de vouloir cracker un logiciel, on a tendance à insister malgré les détections et autres avertissements.

On prend les sites de cracks habituels, allez tiens encore cracksinn.com :

crack_malware
crack_malware_2

qui conduise à softbase.xyz :

crack_malware_3

Ce dernier balance une archive avec un mot de passe.
Celle-ci est d’ailleurs bloqué par Google Chrome :

crack_malware_4

qui prévient que le fichier est malveillant, mais dans l’optique d’installer son crack, l’utilisateur risque d’insister :
L’archive étant protégé par un mot de passe, l’antivirus n’y a pas accès jusqu’à ce que vous tapiez le mot de passe.
Dedans se trouve un .exe et une autre archive auto-extractible.

crack_malware_5

A droite, PUP.Amonetize, un installeur de PUPs/Adwares – si vous le lancez, c’est fini, les programmes parasites vont s’installer.
Les boutons Annuler/Décliner ou la croix pour fermer, ne sont là que pour décorer, vous pouvez faire ce que vous voulez, les programmes parasites s’installeront.
La seule manière de ne pas installer est de tuer le processus avec le gestionnaire de tâches.

SHA256: de4692f2c638683e14dcdc521eaf95ba13a107dcead4d5316a7562deb96a4c15
Nom du fichier : keygen__7516_il1713274.exe
Ratio de détection : 10 / 55
Date d’analyse : 2015-09-11 06:56:02 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AhnLab-V3 PUP/Win32.Amonetize 20150910
Baidu-International PUA.Win32.Amonetize.II 20150910
DrWeb Trojan.Amonetize.6800 20150911
ESET-NOD32 a variant of Win32/Amonetize.II potentially unwanted 20150911
Fortinet Riskware/Amonetize 20150911
K7AntiVirus Adware ( 004cf1471 ) 20150911
K7GW Adware ( 004cf1471 ) 20150911
Malwarebytes PUP.Optional.Bundle 20150911
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150911
Sophos Generic PUA LE (PUA) 20150911

A gauche, se trouve une archive auto-extractible toujours protégé par un mot de passe qui installe le Trojan.

crack_malware_9
crack_malware_6

Une fois lancée, le malware lance le crack et installe le trojan mdi064.dll

Une détection de la DLL d’il y a quelques jours, la détection reste toujours pas terrible :

HA256: 22d2175c9ba2c4f0bba56b92b528edb8b77598d93a4b18eb128f0173165bd593
Nom du fichier : mdi064.dll
Ratio de détection : 6 / 56
Date d’analyse : 2015-09-11 07:18:23 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AVware Win32.Malware!Drop 20150911
DrWeb Trojan.Packed 20150911
K7AntiVirus Trojan ( 0001140e1 ) 20150911
K7GW Trojan ( 0001140e1 ) 20150911
Malwarebytes Trojan.Inject 20150911
VIPRE Win32.Malware!Drop 20150911

La suite en 2020 :