初回投稿 2017年1月21日
最終更新 2018年5月5日

【危険】KMSPicoダウンロードでウイルス感染の巻 Win10/Officeクラックで悲劇

イメージ 1

マイクロソフトのオフィス製品 Microsoft Office やオペレーティングシステム Windows を不正にクラックして、ライセンスの認証(キー管理サービス: KMS)の回避を唄う怪しいプログラムが存在します。

たとえば、「KMSPico」 でググってみると、クラックツールの使い方を 親切丁寧に解説する怪しい日本語の記事 が確認できます。

そのようなまともではない情報を提供するサイトが過去に警察に摘発されており、いやはや恐ろしいですな。

福井の少年を逮捕へ ソフト試用期限不正解除の疑い - 日本経済新聞
https://www.nikkei.com/article/DGXLASDG1003U_R10C14A9CR0000/

Officeのクラックツール提供の男を起訴、不正競争防止法違反適用で - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/673464.html

この記事は、そんな怪しいツールの使い方を紹介して利用をそそのかす内容ではいっさいなく、ブツを手にした Windows ユーザーさんがヤバい事態へ陥っていく事例を紹介します。

不正なクラックツールでウイルス感染被害

クラックツールを手にしたいユーザーさんの ”需要” があるので、不正なプログラムを PC に送り込む攻撃手口として ”供給” されます。

  • KMSPico

  • Windows Loader

  • KMS Activator

  • Microsoft Toolkit

そんな供給された不正なブツの影響で悲鳴を挙げるユーザーさん声です。

● 友達とちょっとしたノリでwordをクラックしようとして見事に失敗しました。そのときにKMSpicoを実行してしまいました。インターネットから切断したので大丈夫だと思ってたのですが、その日以来デスクトップの背景が真っ黒だったり、再起動するたびになんかを更新しています
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10137248210

● 友人にパソコンを貸し、返してもらったらKMspicoという違法なソフトが入っていました。OfficeやOSは正規版でクラックしていませんので、KMspicoは要りませんし、認証を延長する必要もありません。さっさとアンインストールしたのですが、セキュリティソフト(Windows標準搭載)から何度もウイルス検知されます。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13152614258

● ウイルスが検出されました。hacktool win32 autoKMSです。ウイルスが検出されました。と一週間ほど前から出ていたのですが気にせず使用しており、気になったので一応消去しました。windows10にアップグレードしたときライセンス認証がされなくてその時にダウンロードしたものかと思われます
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14173885614

● 1時間でシャットダウンされるのです・・・・・|Don't Think. Feel!
torrnt専用の先日組んだ、i7のPCですが、Win8.1をKMSpicoでいけないことをしていました。天罰でしょうか、たまたま新しいKMSpicoを発見しました!普段は見ないサイトだったので、不安だったのですが、8.1のアップデートがでたでしょ?
https://minkara.carview.co.jp/userid/769803/blog/32976751/

● Office 2013/2010クラック検証【KMSPico 2014ツールキット】 - Monday
「Office2010をクラック検証してから、セキュリティがボロボロになってきており セキュリティソフトでフルスキャンかけると、19個もの、トロイの木馬が出てきた」
http://monday23.blog.so-net.ne.jp/2014-10-24
HackTool:Win32/AutoKMS HackTool:Win64/AutoKMS HackTool:MSIL/AutoKMS HackTool:Win32/AutoKMS.SA!MSR HackTool:Win32/Keygen HackTool:Win32/AutoKMS!rfn PUA:Win32/AutoKMS HackTool:VBS/AutoKMS Trojan:JS/AutoKMS HackTool:BAT/AutoKMS

また、状況が異なるけれど、不自然に安い Microsoft Office 製品などをオークションサイトで購入してみたら、何とライセンス認証を回避する不正なプログラムが入った海賊版だったパターンです。

● ヤフオクで入手したOffice2013のソフトにKMspicoソフトが付いて来ました
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13155012063

● 数ヶ月前にフリマアプリで中古PCを購入致しました。つい最近までは問題なく動作していたのですが、いきなりとても重くなりました。windows defenderでスキャンしてみると「許可された脅威」というところにHacktool;Win34/AutoKMS というのが出てきました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14188588079

● ヤフオクで格安のOffice(Access)を買ってみた - 徒然なるままに
「これってKMS(Key-Management Service)を回避するクラックソフト(常駐型)ですよね。PDFマニュアルの最初に、ウイルス対策ソフトをOFFにしろって書いてあるし。試しにrarを解凍して、ウイルスチェックにかけるが、わんさかと出てくる。」
https://banikojp.blogspot.com/2015/03/officeaccess.html

『ウイルス対策ソフトをOFFにしろ』 …。
笑っちゃいけないけど、真に受けて指示に従ってインストールするとトンでもないことになります。

危険! KMSPico のインストーラをダウンロード!?

手元の PC 環境で現実の攻撃を喰らう調査実験を行うため、Microsoft Office のクラックツールとして自称 「KMSPico」 の 実行ファイル .exe をダウンロードしてきました。

イメージ 7

イメージ 8

ちなみに、オンラインスキャンサイト VirusTotal にファイルを投げてみると、セキュリティソフトの多くがトロイの木馬、アドウェア、PUA(不必要な可能性のあるアプリケーション) と判定しています。

イメージ 2
たくさんのセキュリティソフトが脅威扱い
「KMSPico [数字].[数字].[数字].exe

【セキュリティソフトのウイルス検出名】
AVG MultiDropper_c.BQOF
Avira ADWARE/Adware.Gen7
BitDefender Trojan.GenericKD.4546225
ESET Win32/Amonetize.EA
K7 AntiVirus(ウイルスセキュリティ) Trojan
Kaspersky not-a-virus:Downloader.Win32.AdLoad.ybpz
Malwarebytes PUP.Optional.Amonetize
McAfee Artemis!B9C316E73DA0
Microsoft TrojanDropper:Win32/Kaymundler.C HackTool:Win32/AutoKMS HackTool:Win32/AutoKMS!rfn
Sophos Generic PUA BJ
Symantec Trojan.Gen.2
Trend Micro TROJ_GEN.R047C0DC917

こういう危なっかしいブツの起動は普通なら、ためらうはずです。

ただ、Microsoft Office をタダで使いたい一心でイレギュラーな行動をするダメダメなユーザーさんが必ず出現するはずです。

  • セキュリティソフトの動作を無効化する

  • セキュリティ警告の通知を故意に無視する


KMSPico ヤバい実行ファイルを起動したら…

さっそく起動してみると、もっともらしい英語表記のインストーラ画面が表示されました。

イメージ 3

まず、このインストーラのタイトル部分をよく見てください。

Setup 3D Hent@i Video Account Generator Downloader
(日本語の意味 → 3Dエッチビデオのアカウント生成ツールダウンローダーのセットアップ)

KMSPico はどこいったw

まあ、騙されるユーザーさんは英語の文章はもちろんのこと、日本語の文章すら1ミリも読まないはずで、気づくこともでしょう。

ココで何も考えずに右下ボタンをポチッと押してしまうと、地獄 の始まりです。


《1》 いきなりバックドアウイルスに感染した

まず、自称 KMSPico のインストーラを起動すると、その直後に不正な実行ファイルがシレッと動き出している事実を確認しました。

イメージ 6
不自然なランダム英数字の実行ファイルがウイルス

イメージ 5
「aacdbc6111cfb3aea70f7f85aa148411.exe」発見

マイクロソフトはウイルス定義名をトロイの木馬 Miuref と判定していて、トレンドマイクロはバックドア Andromeda ボット と判定うしていました。

【セキュリティソフトのウイルス検出名】
avast! Win32:Malware-gen
AVG Generic_s.MUD
Avira TR/Crypt.Xpack.hkeuy
BitDefender Trojan.GenericKD.4547212
ESET Win32/Injector.DMGJ
K7 AntiVirus(ウイルスセキュリティ) Trojan
Kaspersky Trojan.Win32.Agent.nezfvs
McAfee Trojan-FKRL!AACDBC6111CF
Microsoft Trojan:Win32/Miuref.R
Sophos Mal/Generic-S
Symantec Trojan.Gen.2
Trend Micro BKDR_ANDROM.SMC
MD5 246261acf7df1987abcce3a62de61f61

とにかく、バリバリのマルウェアにいきなり感染www

ただ、目に見える感染症状として異変は特にないので、セキュリティソフトを律儀に無効化でもしていたら、それを検出する場面がなく悲惨です。


《2》 スパイウェアがヒッソリ送り込まれて感染した

インストーラ画面右下の [Next]ボタン をポチッと押すと?

何でも受け入れるウェルカムと同意した結果として、外部ネットワークから不必要な迷惑ソフトやアドウェアがドバドバとダウンロードされてきました。

ユーザーが目視できない裏側の状況として、通信トラフィックの様子はこんな感じ。

イメージ 4
迷惑ソフトやアドウェアの大量ダウンロードにア然…


明らかにヤバいのがナゾの実行ファイル svchost.exe です。

Windows のシステムフォルダに最初から存在する正規の実行ファイル名と同じなので、こういう場面では成りすましてることになり、やはり危険なブツでした。

【セキュリティソフトのウイルス検出名】
avast! Win32:Malware-gen
AVG PSW.Agent.BPFP
Avira TR/Spy.yeliz TR/Spy.gadqi
BitDefender Gen:Variant.Graftor.312461 Gen:Variant.FakeAlert.94
ESET Win32/PSW.Agent.OCK
K7 AntiVirus(ウイルスセキュリティ) Password-Stealer
Kaspersky Trojan.Win32.Reconyc.hujw
McAfee Artemis!39ED9BDDB03E
Microsoft Trojan:Win32/Dynamer!ac
Sophos Mal/Generic-S
Symantec Trojan.Gen.2 Trojan.Gen
Trend Micro TROJ_GEN.R0C1H09CA17 TROJ_GEN.R0C1H0CCE17
MD5 4f9e19809978ecf80bd3bc1919a50177

これは 「PSW」(→パスワードスティーラのこと)や 「Spy」 というウイルス検出名になっており、感染マシンから様々な情報を収集して盗むことを意味してます。

> www.virustotal.com/en/domain/api.faceboold.com/information/

まとめ

KMSPico 自称インストーラからは 迷惑ソフトアドウェア がたくさんインストールされただけに見えるけど、それは 目に見えて症状が出るので気づけるかもしれません

ただ、それ以外に2つの脅威がユーザーの気づかぬうちにインストールされたのでした。

  1. Microsoft Office をクラックしたい
     ↓ 日本語のブログ記事の案内に従い自称 KMSPico のインストーラをダウンロード

  2. 『セキュリティソフトが KMSPico を脅威判定するから無効化してください♪』
     ↓ ダマしの案内を真に受けて指示に従う

  3. KMSPico を名乗るインストーラを起動する
    《すぐにバックドアが裏でヒッソリ起動して感染》

  4. 表示されたインストーラ画面の右下ボタンを脊髄反射でポチッと押す

  5. 複数のアドウェアや迷惑ソフトがドバドバ~とインストールされていく
    《さらにスパイウェアが裏でヒッソリ起動して感染》

この手の怪しいブツには縁がなく無関係と思うユーザーさんがいるかもしれません。

ただ、「Windows のフォントファイル」 「ゲームのチートツール」 「アダルト映像や海賊版アニメ・映画を視聴する再生ソフト」 みたいな様々な名目で、危険なプログラムがネット上で配布されています。

それが Google や Yahoo! の検索結果に普通にヒットするので厄介です。

関連するブログ記事