Kmspico est un outil de piratage qui permet d’activer des logiciels Microsoft comme Windows et Office.
Pour plus d’informations sur le fonctionnement et principe de ce dernier, lire la page : KMSPico : activation de Windows de manière illégale
Comme tous programme pour cracker des logiciels, la notoriété est utilisé pour distribuer des versions vérolés.
Cette page montre comment ces versions de KMSpico vérolées sont distribuées afin d’infecter les internautes.
Table des matières
Kmspico / KMSAuto et les trojans
Initialement, KMSpico est détecté en Hacktool (outils d’hack) par les antivirus, il est donc pas anormale, si vous avez installé KMSpico que votre antivirus émette des alertes.
Ce dernier est détecté en HackTool:Win32/AutoKMS ou Win32/AutoKMS par les éditeurs d’antivirus dont Microsoft ce qui va de soit :
| SHA256: | 6420b33ab894274d45e7140ef8b51751bfdf7015609155ea78c599abae99967f |
| File name: | KMSELDI.exe |
| Detection ratio: | 13 / 56 |
| Analysis date: | 2016-05-03 11:08:45 UTC ( 3 weeks ago ) |
| Antivirus | Result | Update |
|---|---|---|
| AVware | Trojan.Win32.Generic!BT | 20160503 |
| Antiy-AVL | Trojan/Win32.BTSGeneric | 20160503 |
| Avast | Other:PUP-gen [PUP] | 20160503 |
| ESET-NOD32 | a variant of MSIL/HackTool.IdleKMS.C potentially unsafe | 20160503 |
| GData | Win32.Application.Agent.NMVC0D | 20160503 |
| K7AntiVirus | Unwanted-Program ( 004d4d631 ) | 20160502 |
| K7GW | Unwanted-Program ( 004d4d631 ) | 20160503 |
| McAfee | Artemis!53713D4DB89B | 20160503 |
| McAfee-GW-Edition | BehavesLike.Win32.PUP.th | 20160503 |
| Microsoft | HackTool:Win32/AutoKMS | 20160503 |
| Sophos | KMS Activator (PUA) | 20160503 |
| Symantec | Trojan.Gen.2 | 20160503 |
| VIPRE | Trojan.Win32.Generic!BT | 20160503 |
Par exemple, ci-dessous Windows Defender qui détecte KMSpico en Hacktool:MSIL/AutoKMS
Kmpisco est assez populaire, comme tous ces cracks, certains profitent de la situation pour tenter de pousser des malwares.
Tout comme il existe de faux sites KickAssTorrents, de faux sites proposant KMSPico ont été mis en ligne et qui sont diablement bien placés sur Google :
Ces sites se ressemblent… Pourquoi se casser la tête ?
KMSpico, adware et trojan Miner
Sur les forums de désinfections, on constate beaucoup d’internautes qui se font piéger et qui demandent à désinfecter leurs ordinateurs.
Parmi les malwares présents, on trouve :
- Hijacker Proxy, un programme qui installe un proxy sur l’ordinateur. Cela permet de falsifier les pages visitées, injecter des publicités, générer des redirections, etc
- Des Trojans Miner qui utilisent l’ordinateur miner des crypto-monnaies
- et bien sûr, toutes sortes de PUPs ou Adwares
Ces derniers mènent systématiquement à la plateforme de programmes indésirables et adwares : Amonetize
Et pire pour certains qui mènent en plus à des Trojans plus sophistiqués, j’ai fait une vidéo :
Sur la vidéo, le Trojan installé est Boaxxe :
| SHA256: | 34bb6d3cd5efa256caf885940b23f0ee06fe181fe95a85a772d2f26ae600b7c9 |
| File name: | 72ac6c9aa9efaea7313947655b4b7023.exe |
| Detection ratio: | 19 / 56 |
| Analysis date: | 2016-05-24 13:10:08 UTC ( 6 hours, 47 minutes ago ) |
| Antivirus | Result | Update |
|---|---|---|
| AVG | Inject3.AQUC | 20160524 |
| AVware | Trojan.Win32.Generic.pak!cobra | 20160524 |
| AegisLab | Inject3.Aquc.Gen!c | 20160524 |
| Avast | Win32:Malware-gen | 20160524 |
| Avira (no cloud) | TR/Agent.mlqw | 20160524 |
| DrWeb | Trojan.Boaxxe.484 | 20160524 |
| ESET-NOD32 | Win32/Boaxxe.EJ | 20160524 |
| Fortinet | W32/Injector.CYKT!tr | 20160524 |
| GData | Win32.Trojan.Agent.IUIVTW | 20160524 |
| Ikarus | Trojan.Win32.Injector | 20160524 |
| K7AntiVirus | Trojan ( 004de0511 ) | 20160524 |
| K7GW | Trojan ( 004de0511 ) | 20160524 |
| Malwarebytes | Trojan.Kovter | 20160524 |
| McAfee | Artemis!72AC6C9AA9EF | 20160524 |
| McAfee-GW-Edition | BehavesLike.Win32.Downloader.cc | 20160524 |
| Microsoft | Trojan:Win32/Dynamer!ac | 20160524 |
| Rising | Malware.Undefined!8.C-ZihdbJhmqeM (Cloud) | 20160524 |
| Sophos | Mal/Generic-S | 20160524 |
| VIPRE | Trojan.Win32.Generic.pak!cobra | 20160524 |
On trouve d’autres plateformes de programmes indésirables/Adwares dont le malicieux ShopperZ et MPC Cleaner
Quelques autres faux sites liés à KMSPico :
198.143.129.108 : http://kmspi.co/ http://microsofttoolkits.com/ http://kmspicodownload.com/ http://removewatdownload.net/ http://download.kmspicofinal.com/ http://windows10activatordownload.com/ http://www.kmspi.co/ http://officeactivator.com/ http://download.officeactivator.com/
162.144.20.148 : www.kmspicoactivator.org www.windows7activator.org windows7activator.org kmspicoactivator.org
Quand on crack, il faut bien choisir ses sites car les pièges sont vraiment fréquents.
Depuis des années et des années, de faux cracks sont mis en lignes pour pousser des malwares, plus d’informations : Le danger des cracks et keygen
Faux sites KMSAuto et Windows Loader
Même procédés avec de faux sites KMSAuto.
Les premières sites en résultat de recherche Google conduisent à des installeurs malicieux.
ou encore « Windows Loader by Daz » qui est un autre utilitaire connu pour cracker Windows.
On reconnaît la charte graphique de celui-ci qui est la même que pour KMSPico.
Les deux suivants installent un Trojan RAT.
EDIT – KMSpico et PUP.Optional.PrxySvrRST
Beaucoup d’internautes sont touchés par un logiciel malveillant qui installe un proxy afin de manipuler les pages visitées.
AdwCleaner peut détecter ce dernier en PUP.Optional.PrxySvrRST, toutefois, afin de pouvoir supprimer entière les paramètres de Proxy.
Il faut activer dans les paramètres d’AdwCleaner la réinitialisation du proxy.
Imprimer l'article en PDF