Menu Fermer

Kmspico / KMSAuto et les trojans

KMSpico (et ses dérivés comme KMSAuto) est un outil de piratage ou crack qui permet d’activer des logiciels Microsoft comme Windows et Office.
Ce dernier fonctionne toutes les versions de Windows 11, Windows 10 et Windows 7 et 8.1 et Office 2019, 2016, 2013 et 2010.
Pour plus d’informations sur le fonctionnement et principe de ce dernier, lire la page : KMSPico : activation de Windows/Office de manière illégale

Comme tout programme pour cracker des logiciels, la notoriété est utilisé pour distribuer des versions vérolées.
Le but est de mettre en ligne des versions de KMPico qui mène à toute sorte de logiciel malveillants.
Cette page montre comment ces versions de KMSpico vérolées sont distribuées afin d’infecter les internautes.

Kmspico / KMSAuto et les trojans

Les sites malveillants KMSPico

Initialement, KMSpico est détecté en Hacktool (outils dit de hack) par les antivirus non pas parce qu’il s’agit d’un virus, cheval de troie ou autres menaces.
Il s’agit plutôt d’une détection économique qui vise à protéger les programmes Microsoft ou prévenir lorsque des outils pour cracker ces logiciels sont utilisés.
Ainsi, si vous avez installé KMSpico sur votre ordinateur alors votre antivirus risque d’émettre des alertes.

Voici une liste des détections que l’on peut rencontrer par les éditeurs d’antivirus.
La plupart des détections données sont HackTool:Win32/AutoKMS ou Win32/AutoKMS.

KMSpico est assez populaire et donc comme tous les cracks, des personnes malveillants peuvent profiter de la situation pour tenter de pousser des malwares.
Tout comme il existe de faux sites KickAssTorrents, de faux sites proposant KMSPico ont été mis en ligne et qui sont diablement bien placés sur Google puisqu’on les trouve dans les premiers résultats.

KMSPico et malwares
KMSPico et malwares
KMSPico et malwares
KMSPico et malwares

Ces sites se ressemblent tous en effet, l’auteur a multiplié ces derniers pour maximiser les chances que les internautes tombent dessus.

Quelques exemples de malwares distribués par KMSpico

Sur les forums de désinfection informatique, on constate beaucoup d’internautes qui se font piéger par ces faux sites KMSpico et qui demandent à désinfecter leurs ordinateurs.
Parmi les malwares présents, on trouve généralement :

Ces derniers mènent systématiquement à la plateforme de programmes indésirables et adwares : Amonetize
Et pire pour certains autres sites qui mènent en plus à des Trojans plus sophistiqués.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Official-KMSpico.com est un site qui propose KMSpico et qui sort en premier dans les résultats de Google.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Le fichier ZIP est protégé par un mot de passe.

Une fois que l’utilisateur lance le Setup KMSpico, le contrôle des comptes d’utilisateur (UAC) se déclenche sur un fichier KMS_pico.exe

Le fichier est positif avec 8 détections sur VirusTotal.
La taille du fichier est gonflé artificiellement pour éviter l’analyse en temps réel et la remonté automatique du fichier par l’antivirus vers les laboratoires.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

La majorité des détections sont des détections génériques.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Windows Defender le détecte en tant que Trojan:Win32/Androm.
Ce dernier du type Trojan Stealer et va voler des données comme les mots de passe.

Trojan:Win32/Androm détecté par Windows Defender

Un Trojan AutoIT est alors actif dans le système.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Il se rend actif dans le système par une tâche planifiée.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST et Trojan/Pacoredi

Getkmspico.com et OfficielKMSpico.com suivent dans les résultats Google.
Les téléchargements renvoient vers des hébergeurs comme file.fan ou rapideshare.io.

Getkmspico.com et OfficielKMSpico.com et  Hijacker.proxy et PUP.Optional.PrxySvrRST

Ce dernier installe un malware se faisant passer par InstallShield, par le passé, il a pu aussi se faire passer pour Adobe Flash.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST

Il s’agit d’un malware de type Hijacker.Proxy qui force un proxy dans le système, ici à l’adresse 127.0.0.1:86.
Lorsque l’on tente de le désactiver ou le supprimer, il revient.
Cela peut générer des erreurs ERR_PROXY_CONNECTION_FAILED ou ERR_PROXY_CONNECTION_FAILED lors du chargement des sites internet.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST

De plus des restrictions administrateur (policies) sont placés pour griser les paramètres réseau dans les options internet.
Le message “Certains paramètres sont gérés par votre administrateur système” s’affiche.

Certains paramètres sont gérés par votre administrateur système dans les paramètres réseau des options internet

Ce dernier se rend actif par une tâche planifiée.

Tâche planifiée qui exécute le Trojan Pacoredi

La détection est essentiellement de type HackTool.

Détection d'un malware poussé par KMSpico

Par la suite, des détections du type Détection Trojan/Pacoredi ou Hacktool.Pacoredi ont été ajoutées.

Détection Trojan/Pacoredi ou Hacktool.Pacoredi

AdwCleaner peut détecter ce dernier en PUP.Optional.PrxySvrRST, toutefois, afin de pouvoir supprimer entière les paramètres de Proxy.
On retrouve une tâche planifiée de type InstallShield pdate Service.
Il faut activer dans les paramètres d’AdwCleaner la réinitialisation du proxy sinon Malwarebytes Anti-malware peut faire le boulot.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

Beaucoup d’internautes sont touchés par un logiciel malveillant qui installe un proxy afin de manipuler les pages visitées.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

Trojan Boaxxe (2016)

Une ancienne campagne de sites KMSPico malveillants autour de 2016.
J’ai d’ailleurs fait une vidéo en démonstration de ces pièges présents sur la toile :

Sur la vidéo, c’est le Trojan Boaxxe qui est poussé mais bien entendu avec le temps, les liens peuvent mener à d’autres menaces.

SHA256: 34bb6d3cd5efa256caf885940b23f0ee06fe181fe95a85a772d2f26ae600b7c9
File name: 72ac6c9aa9efaea7313947655b4b7023.exe
Detection ratio: 19 / 56
Analysis date: 2016-05-24 13:10:08 UTC ( 6 hours, 47 minutes ago )
Antivirus Result Update
AVG Inject3.AQUC 20160524
AVware Trojan.Win32.Generic.pak!cobra 20160524
AegisLab Inject3.Aquc.Gen!c 20160524
Avast Win32:Malware-gen 20160524
Avira (no cloud) TR/Agent.mlqw 20160524
DrWeb Trojan.Boaxxe.484 20160524
ESET-NOD32 Win32/Boaxxe.EJ 20160524
Fortinet W32/Injector.CYKT!tr 20160524
GData Win32.Trojan.Agent.IUIVTW 20160524
Ikarus Trojan.Win32.Injector 20160524
K7AntiVirus Trojan ( 004de0511 ) 20160524
K7GW Trojan ( 004de0511 ) 20160524
Malwarebytes Trojan.Kovter 20160524
McAfee Artemis!72AC6C9AA9EF 20160524
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160524
Microsoft Trojan:Win32/Dynamer!ac 20160524
Rising Malware.Undefined!8.C-ZihdbJhmqeM (Cloud) 20160524
Sophos Mal/Generic-S 20160524
VIPRE Trojan.Win32.Generic.pak!cobra 20160524

On trouve d’autres plateformes de programmes indésirables/Adwares dont le malicieux ShopperZ et MPC Cleaner

Kmspico_Trojans_bundle_adwares

Quelques autres faux sites liés à KMSPico :

198.143.129.108 :
KMSPico 10.2.1 | Windows 10 Activator and Office Activator
http://microsofttoolkits.com/ http://kmspicodownload.com/ http://removewatdownload.net/ http://download.kmspicofinal.com/ http://windows10activatordownload.com/
KMSPico 10.2.1 | Windows 10 Activator and Office Activator
http://officeactivator.com/ http://download.officeactivator.com/
162.144.20.148 :
www.kmspicoactivator.org
www.windows7activator.org
windows7activator.org
kmspicoactivator.org

La conclusion de tout cela, est que lorsqu’on tenter de cracker ses logiciels, il faut bien choisir ses sites car les pièges sont vraiment fréquents.
Depuis des années et des années, de faux cracks sont mis en lignes pour pousser des malwares, plus d’informations : Le danger des cracks et keygen

Faux sites KMSAuto et Windows Loader

Même procédés avec de faux sites KMSAuto qui est un autre logiciel similaire à KMSPico.
Là aussi, les premières sites en résultat de recherche Google conduisent à des installeurs malicieux.

kmsauto-faux-site_trojan

ou encore “Windows Loader by Daz” qui est un autre utilitaire connu pour cracker Windows.
On reconnaît la charte graphique de celui-ci qui est la même que pour KMSPico.

Windows Loader pour cracker Windows renvoie vers des malwares

Les deux suivants installent un Trojan RAT qui permet de contrôler l’ordinateur et récupérer les mots de passe enregistrés dans les navigateurs internet.

Windows Loader pour cracker Windows renvoie vers des malwares
Windows Loader pour cracker Windows renvoie vers des malwares