Kmspico / KMSAuto et les trojans

Kmspico est un outil de piratage qui permet d’activer des logiciels Microsoft comme Windows et Office.
Ce dernier fonctionne toutes les versions de Windows 7, 8.1, 10 et Office 2010, 2013 et 2016.
Pour plus d’informations sur le fonctionnement et principe de ce dernier, lire la page : KMSPico : activation de Windows de manière illégale

Comme tout programme pour cracker des logiciels, la notoriété est utilisé pour distribuer des versions vérolés.
Le but est de mettre en ligne des versions de KMPico qui mène à toute sorte de logiciel malveillants.
Cette page montre comment ces versions de KMSpico vérolées sont distribuées afin d’infecter les internautes.

Kmspico / KMSAuto et les trojans

Initialement, KMSpico est détecté en Hacktool (outils dit de hack) par les antivirus non pas parcequ’il s’agit d’un virus, cheval de troie ou autres menaces.
Il s’agit plutôt d’une détection économique qui vise à protéger les programmes Microsoft ou prévenir lorsque des outils pour cracker ces logiciels sont utilisés.
Ainsi, si vous avez installé KMSpico sur votre ordinateur alors votre antivirus risque d’émettre des alertes.

Voici une liste des détections que l’on peut rencontrer par les éditeurs d’antivirus.
La plupart des détections données sont HackTool:Win32/AutoKMS ou Win32/AutoKMS.

SHA256:6420b33ab894274d45e7140ef8b51751bfdf7015609155ea78c599abae99967f
File name:KMSELDI.exe
Detection ratio:13 / 56
Analysis date:2016-05-03 11:08:45 UTC ( 3 weeks ago )
AntivirusResultUpdate
AVwareTrojan.Win32.Generic!BT20160503
Antiy-AVLTrojan/Win32.BTSGeneric20160503
AvastOther:PUP-gen [PUP]20160503
ESET-NOD32a variant of MSIL/HackTool.IdleKMS.C potentially unsafe20160503
GDataWin32.Application.Agent.NMVC0D20160503
K7AntiVirusUnwanted-Program ( 004d4d631 )20160502
K7GWUnwanted-Program ( 004d4d631 )20160503
McAfeeArtemis!53713D4DB89B20160503
McAfee-GW-EditionBehavesLike.Win32.PUP.th20160503
MicrosoftHackTool:Win32/AutoKMS20160503
SophosKMS Activator (PUA)20160503
SymantecTrojan.Gen.220160503
VIPRETrojan.Win32.Generic!BT20160503

Par exemple, ci-dessous Windows Defender qui détecte KMSpico en Hacktool:MSIL/AutoKMS dans la majorité des fichiers de ce logiciel de piratage.

KMSpico détecté en Hacktool:MSIL/AutoKMS par Windows Defender

 

Kmpisco est assez populaire et donc comme tous ces cracks des personnes malveillants peuvent profiter de la situation pour tenter de pousser des malwares.
Tout comme il existe de faux sites KickAssTorrents, de faux sites proposant KMSPico ont été mis en ligne et qui sont diablement bien placés sur Google puisqu’on les trouve dans les premiers résultats.

Kmspico_Trojans

Ces sites se ressemblent tous en effet, l’auteur a multiplié ces derniers pour maximiser les chances que les internautes tombent dessus.
Kmspico_Trojans_4 Kmspico_Trojans_3 Kmspico_Trojans_2

KMSpico, adware et trojan Miner

Sur les forums de désinfection informatique, on constate beaucoup d’internautes qui se font piéger par ces faux sites KMSpico et qui demandent à désinfecter leurs ordinateurs.
Parmi les malwares présents, on trouve généralement :

  • Hijacker Proxy, un programme qui installe un proxy sur l’ordinateur. Cela permet de falsifier les pages visitées, injecter des publicités, générer des redirections, etc
  • Des Trojans Miner qui utilisent l’ordinateur miner des crypto-monnaies
  • et bien sûr, toutes sortes de PUPs ou Adwares

Ces derniers mènent systématiquement à la plateforme de programmes indésirables et adwares : Amonetize
Et pire pour certains autres sites qui mènent en plus à des Trojans plus sophistiqués.

Kmspico et les trojans

J’ai d’ailleurs fait une vidéo en démonstration de ces pièges présents sur la toile :

Sur la vidéo, c’est le Trojan Boaxxe qui est poussé mais bien entendu avec le temps, les liens peuvent mener à d’autres menaces.

SHA256:34bb6d3cd5efa256caf885940b23f0ee06fe181fe95a85a772d2f26ae600b7c9
File name:72ac6c9aa9efaea7313947655b4b7023.exe
Detection ratio:19 / 56
Analysis date:2016-05-24 13:10:08 UTC ( 6 hours, 47 minutes ago )
AntivirusResultUpdate
AVGInject3.AQUC20160524
AVwareTrojan.Win32.Generic.pak!cobra20160524
AegisLabInject3.Aquc.Gen!c20160524
AvastWin32:Malware-gen20160524
Avira (no cloud)TR/Agent.mlqw20160524
DrWebTrojan.Boaxxe.48420160524
ESET-NOD32Win32/Boaxxe.EJ20160524
FortinetW32/Injector.CYKT!tr20160524
GDataWin32.Trojan.Agent.IUIVTW20160524
IkarusTrojan.Win32.Injector20160524
K7AntiVirusTrojan ( 004de0511 )20160524
K7GWTrojan ( 004de0511 )20160524
MalwarebytesTrojan.Kovter20160524
McAfeeArtemis!72AC6C9AA9EF20160524
McAfee-GW-EditionBehavesLike.Win32.Downloader.cc20160524
MicrosoftTrojan:Win32/Dynamer!ac20160524
RisingMalware.Undefined!8.C-ZihdbJhmqeM (Cloud)20160524
SophosMal/Generic-S20160524
VIPRETrojan.Win32.Generic.pak!cobra20160524

On trouve d’autres plateformes de programmes indésirables/Adwares dont le malicieux ShopperZ et MPC Cleaner

Kmspico_Trojans_bundle_adwares

Quelques autres faux sites liés à KMSPico :

198.143.129.108 :
http://kmspi.co/
http://microsofttoolkits.com/
http://kmspicodownload.com/
http://removewatdownload.net/
http://download.kmspicofinal.com/
http://windows10activatordownload.com/
http://www.kmspi.co/
http://officeactivator.com/
http://download.officeactivator.com/
162.144.20.148 :
www.kmspicoactivator.org
www.windows7activator.org
windows7activator.org
kmspicoactivator.org

La conclusion de tout cela, est que lorsqu’on tenter de cracker ses logiciels, il faut bien choisir ses sites car les pièges sont vraiment fréquents.
Depuis des années et des années, de faux cracks sont mis en lignes pour pousser des malwares, plus d’informations : Le danger des cracks et keygen

Faux sites KMSAuto et Windows Loader

Même procédés avec de faux sites KMSAuto qui est un autre logiciel similaire à KMSPico.
Là aussi, les premières sites en résultat de recherche Google conduisent à des installeurs malicieux.

kmsauto-faux-site_trojan

ou encore « Windows Loader by Daz » qui est un autre utilitaire connu pour cracker Windows.
On reconnaît la charte graphique de celui-ci qui est la même que pour KMSPico.

Windows Loader pour cracker Windows renvoit vers des malwares

Les deux suivants installent un Trojan RAT qui permet de contrôler l’ordinateur et récupérer les mots de passe enregistrés dans les navigateurs internet.

Windows Loader pour cracker Windows renvoit vers des malwares

 

EDIT – KMSpico et PUP.Optional.PrxySvrRST

Beaucoup d’internautes sont touchés par un logiciel malveillant qui installe un proxy afin de manipuler les pages visitées.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

AdwCleaner peut détecter ce dernier en PUP.Optional.PrxySvrRST, toutefois, afin de pouvoir supprimer entière les paramètres de Proxy.
Il faut activer dans les paramètres d’AdwCleaner la réinitialisation du proxy sinon Malwarebytes Anti-malware peut faire le boulot.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

(Visité 9 748 fois, 15 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet