Bravo et merci à vous tous...
Vous me donnez de l'eau à mon moulin...
d'abord un lien, moins pourris que le vôtre
là :
http://forum.malekal.com/ftopic893.php
ensuite le texte (pour les flémards du clic) :
Le danger des cracks !
Les cracks sont un vecteur de malwares et d'infections très importants.
En téléchargeant et en executant un crack, vous pouvez exposer à une infection sur votre ordinateur, surtout qu'en règle général, les antivirus ne détectent aucune infection, car les cracks sont packagés.
Parfois une simple visite d'un site de crack peut suffir à infecter votre ordinateur, surtout dans le cas où votre ordinateur n'est pas à jour.
Démonstration :
Introduction
La machine est un Windows XP SP2 avec AUCUNE mise à jour executée depuis l'installation. La machine n'est donc pas à jour.
Au démarrage de l'ordinateur, aucun processus additif.
N'est executé sur la machine que quelques processus essentielles au fonctionnement de Windows.
Etape 1
Je me rends sur un site de crack choisi presque au pif.
On peut déjà constater que dans la partie haute du navigateur, une barre jaune vous préviens que le site vous propose de télécharger un fichier ou un ActiveX.
Si l'on regarde les processus à droite, de nouveaux processus sont apparus à savoir :
iedw.exe
newsploit.exe
Conclusion : le site exploite une faille sur le navigateur afin de télécharger et surtout installer des programmes à l'insu de l'utilisateur.
Le télécharger et installation est casi invisible hormis une fenetre de téléchargement qui s'ouvre. L'utilisateur ne peut rien faire.
Etape 2
Dans la capture suivante, on voit la fenêtre de Windows image qui tente de visualiser une image de type .wmf
La faille bien connue WMF est exploitée :
Microsoft Windows Enhanced/Windows Metafile Handling Vulnerability
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
La faille WMF exploitée à vitesse grand Vitesse
Cette faille permet d'executer un fichier à l'insu de l'utilisateur.
On peut aussi constater de nouveaux processus surement ajouté par l'exploitation de cette faille :
mtrlqdw.exe
On peut aussi constater une alerte en bas à droite à côté de l'horloge de type Desktop Hijacker.
Etape 3
L'infection continue d'installer sur le système, des fenetres noire s'ouvre afin d'ajouter des services ou enregistrer de nouvelles .DLL
On peut aussi constater que la liste des processus non légitimes toujours dans la partie droite s'allonge :
boot.inx
z15.exe
a.exe
mwqlvo.exe
NvVid.exe
pigglet.exe
igtaxbtn.exe
Conclusion
Au final, voici la liste des processus à droite, on peut constater que la liste a considérablement gonflée comparé à la liste des processus initiale (voir intro).
Dans la partie gauche, l'utilitaire msconfig permettant de visualiser les programmes au démarrage.
Tous les programmes cochés (pigglet, NvVid, cmd32) sont infectieux !
On voit ici tous les dangers des sites de cracks. L'utilisateur ayant une machine non à jour, se rendant simplement sur un site de crack, infecte son ordinateur même avec un antivirus à jour!
Vous n'êtes pas du tout à l'abri avec les cracks que vous téléchargez sur les réseaux P2P.
