初回投稿 2017年1月21日

<感染>KMSPicoダウンロードでAutoKMSウイルスの悲劇 Officeクラック?

イメージ 1

マイクロソフトのオフィス製品 Microsoft Office や OS の Windows 10 をクラックして、ライセンス認証 (キー管理サービス KMS) の回避を意図する怪しいプログラムがネット上に存在します。

たとえば、「KMSPico」 で検索すると、不正なクラックツールの使い方を 親切丁寧に解説する怪しい日本語の記事 が存在するけど、そのような危なっかしい情報を提供するウェブサイトの関係者が警察に摘発されていたりします。

福井の少年を逮捕へ ソフト試用期限不正解除の疑い - 日本経済新聞
捜査関係者によると、少年は昨年10月下旬から今年にかけ、60日となっている事務統合ソフト 「マイクロソフトオフィス2013無料体験版」 の試用期限を解除する不正プログラムを、自分が運営するブログで紹介、ダウンロードさせていた疑いが持たれている。
https://www.nikkei.com/article/DGXLASDG1003U_R10C14A9CR0000/

ソフト試用期限を不正解除 プログラム提供容疑で高3逮捕 - 日本経済新聞
男子生徒が昨年10月、自分のブログで「無料体験版を永久的に利用できる」と触れ込み、クラックツールを紹介すると、今年7月までに約7千回のダウンロードがあった。
https://www.nikkei.com/article/DGXLASDG1103P_R10C14A9CC1000/

Officeのクラックツール提供の男を起訴、不正競争防止法違反適用で - INTERNET Watch
この男性は、試用版の 「Office 2013 Professional Plus」 のライセンス認証システムを回避するクラックツールを提供したとして、栃木県警生活環境課などが不正競争防止法違反の疑いで逮捕していたもの。
https://internet.watch.impress.co.jp/docs/news/673464.html

Office Windows 不正なクラックツールでウイルス感染

そんなクラックツールを今すぐダウンロードしたい Windows ユーザーさんの需要が存在するため、PC に不正なプログラムを送り込んで感染させる攻撃手口が確認されています。

  • KMSPico Firefly

  • Windows Loader

  • KMS Activator Firefly

  • Microsoft Toolkit

不正なブツが取り込まれた影響で、悲鳴を挙げている Windows ユーザーさん声です。

● 友達とちょっとしたノリで Word をクラックしようとして見事に失敗しました。そのときに KMSpico を実行してしまいました。インターネットから切断したので大丈夫だと思ってたのですが、その日以来デスクトップの背景が真っ黒だったり、再起動するたびになんかを更新しています
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10137248210

● 友人にパソコンを貸し、返してもらったら KMspico という違法なソフトが入っていました。Office や OS は正規版でクラックしていませんので、KMspico は要りませんし、認証を延長する必要もありません。さっさとアンインストールしたのですが、セキュリティソフト (Windows 標準搭載) から何度もウイルス検知されます。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13152614258

● ウイルスが検出されました。hacktool win32 autoKMS です。ウイルスが検出されました。と一週間ほど前から出ていたのですが気にせず使用しており、気になったので一応消去しました。windows10 にアップグレードしたときライセンス認証がされなくてその時にダウンロードしたものかと思われます
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14173885614

● 1時間でシャットダウンされるのです・・・・・|Don't Think. Feel!
torrnt 専用の先日組んだ、i7 の PC ですが、Win8.1 を KMSpico でいけないことをしていました。天罰でしょうか、たまたま新しい KMSpico を発見しました!普段は見ないサイトだったので、不安だったのですが、8.1のアップデートがでたでしょ?
https://minkara.carview.co.jp/userid/769803/blog/32976751/

● Office 2013 / 2010 クラック検証【KMSPico 2014ツールキット】 - Monday
Office 2010 をクラック検証してから、セキュリティがボロボロになってきており セキュリティソフトでフルスキャンかけると、19 個もの、トロイの木馬が出てきた
http://monday23.blog.so-net.ne.jp/2014-10-24
【Windows Defender ウイルス検出例】
HackTool:Win32/AutoKMS HackTool:Win64/AutoKMS HackTool:MSIL/AutoKMS HackTool:Win32/AutoKMS.SA!MSR HackTool:Win32/Keygen HackTool:Win32/AutoKMS!rfn PUA:Win32/AutoKMS HackTool:VBS/AutoKMS Trojan:JS/AutoKMS HackTool:BAT/AutoKMS

状況が違うけれど、オークションで価格の安い Microsoft Office を購入したら、ライセンス認証を回避する不正なプログラム入りだったパターンもあります。 <海賊版を売りつけられた、中古 PC に入っていた

● ヤフオクで入手したOffice2013のソフトにKMspicoソフトが付いて来ました
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13155012063

● 数ヶ月前にフリマアプリで中古 PC を購入致しました。つい最近までは問題なく動作していたのですが、いきなりとても重くなりました。windows defender でスキャンしてみると「許可された脅威」というところにHacktool;Win34/AutoKMS というのが出てきました。調べてみると中々やばいソフト?ツール?らしいのですがどうしたらいいのでしょうか?
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14188588079

● ヤフオクで格安のOffice(Access)を買ってみた - 徒然なるままに
これってKMS(Key-Management Service)を回避するクラックソフト(常駐型)ですよね。PDFマニュアルの最初に、ウイルス対策ソフトをOFFにしろって書いてあるし。試しにrarを解凍して、ウイルスチェックにかけるが、わんさかと出てくる。
https://banikojp.blogspot.com/2015/03/officeaccess.html

『ウイルス対策ソフトを OFF にしてください』 …。
セキュリティソフトの妨害行為を確実に回避できる魔法の言葉でしょうか?

笑っちゃいけないけど、真に受けて律儀に従って導入作業を進めると、待っているのは地獄です。

危険! KMSPico インストーラをダウンロードする流れ

手元の Windows 環境でリアル現実の攻撃を喰らう実験を行いました。

次のような 見た目の外観デザインでは必ずしも怪しくない海外サイトから、Microsoft Office のクラックツールを名乗る 「KMSPico」 の 実行ファイル .exe をダウンロードしてきました。

イメージ 7

イメージ 8

ダウンロードしたファイルをオンラインスキャンサイト VirusTotal に投げてみると、多くのセキュリティソフトがトロイの木馬、アドウェア、PUA (望まない可能性のあるアプリ) と判定しています。

イメージ 2
たくさんのセキュリティソフトが脅威扱い
「KMSPico [数字]..exe

【セキュリティソフトのウイルス検出名】
AVG MultiDropper_c.BQOF
Avira ADWARE/Adware.Gen7
BitDefender Trojan.GenericKD.4546225
ESET Win32/Amonetize.EA
K7 AntiVirus(ウイルスセキュリティ) Trojan
Kaspersky not-a-virus:Downloader.Win32.AdLoad.ybpz
Malwarebytes PUP.Optional.Amonetize
McAfee Artemis!B9C316E73DA0
Microsoft TrojanDropper:Win32/Kaymundler.C HackTool:Win32/AutoKMS HackTool:Win32/AutoKMS!rfn
Sophos Generic PUA BJ
Symantec Trojan.Gen.2
Trend Micro TROJ_GEN.R047C0DC917

こんな危ないブツの起動はためらうだろうだけど、「Microsoft Office を無料で使いたい♪」 の一心でイレギュラーな行動に走るユーザーさんが一定数は出現すると思われます。

  • セキュリティソフトの動作を手動で無効化する

  • セキュリティ警告の通知を故意に無視して先へ進める


KMSPico ヤバい実行ファイルを起動した

さっそく起動してみると、もっともらしい英語表記のインストーラー画面が表示されました。

イメージ 3

ただ、このインストーラの タイトル部分 をよくよく見てください。

Setup 3D Hent@i Video Account Generator Downloader
(日本語の意味 → セットアップ 3D 変態ビデオ アカウント 生成ツール ダウンローダー)

えーーー!?
「KMSPico」 はドコいってしまったんでしょうか。

こういう英語のメッセージはもちろんのこと、日本語の文章すら 1 ミリも読まないユーザーさんは結構いるはずです。


《1》 いきなりバックドアが起動して感染している

自称 「KMSPico」 のインストーラーを起動すると、実はインストーラ画面を拝む直前に不正な実行ファイルがシレッと動き出していました。

イメージ 6
カーソルに不自然なランダム英数字の実行ファイル
→ これが実はバックドア

イメージ 5
「aacdbc6111cfb3aea70f7f85aa148411.exe」 ファイルを発見!

  • マイクロソフト → トロイの木馬 Miuref と判定

  • トレンドマイクロ → バックドア Andromeda ボット と判定

【セキュリティソフトのウイルス検出名】
avast! Win32:Malware-gen
AVG Generic_s.MUD
Avira TR/Crypt.Xpack.hkeuy
BitDefender Trojan.GenericKD.4547212
ESET Win32/Injector.DMGJ
K7 AntiVirus(ウイルスセキュリティ) Trojan
Kaspersky Trojan.Win32.Agent.nezfvs
McAfee Trojan-FKRL!AACDBC6111CF
Microsoft Trojan:Win32/Miuref.R
Sophos Mal/Generic-S
Symantec Trojan.Gen.2
Trend Micro BKDR_ANDROM.SMC
MD5 246261acf7df1987abcce3a62de61f61

ただ、目に見える感染症状がありません。

そもそも、セキュリティソフトを無効にしていたら検出されないワケで…。


《2》 ヒッソリとスパイウェアが送り込まれて感染している

次に、インストーラ画面右下に見える [Next]ボタン をポチッと押しました。

これは、ユーザーさんが 「何でも受け入れます♪ ウェルカム♪」 と同意した形なので、さっそく外部ネットワークから 迷惑ソフトアドウェア がドバドバとダウンロードされました。

イメージ 4
迷惑ソフトやアドウェアの大量ダウンロードにア然…


明らかにヤバそうなのが svchost.exe なるナゾの実行ファイルです。

Windows のシステムフォルダーに存在する正規の実行ファイルと同じファイル名で成りすましており、「PSW」 (→パスワードスティーラ) や 「Spy」 というウイルス検出名ということで情報を収集して盗むスパイウェアのようです。

【セキュリティソフトのウイルス検出名】
avast! Win32:Malware-gen
AVG PSW.Agent.BPFP
Avira TR/Spy.yeliz TR/Spy.gadqi
BitDefender Gen:Variant.Graftor.312461 Gen:Variant.FakeAlert.94
ESET Win32/PSW.Agent.OCK
K7 AntiVirus(ウイルスセキュリティ) Password-Stealer
Kaspersky Trojan.Win32.Reconyc.hujw
McAfee Artemis!39ED9BDDB03E
Microsoft Trojan:Win32/Dynamer!ac
Sophos Mal/Generic-S
Symantec Trojan.Gen.2 Trojan.Gen
Trend Micro TROJ_GEN.R0C1H09CA17 TROJ_GEN.R0C1H0CCE17
MD5 4f9e19809978ecf80bd3bc1919a50177
www.virustotal.com/en/domain/api.faceboold.com/information/


KMSPico でバックドアやスパイウェアに感染

自称 「KMSPico」 インストーラを起動した結果、迷惑ソフトアドウェア が導入されていき、それは 目に見えて症状が出るのでインストールされた事実に後で気づけます

ただ、それ以外の 2 つの脅威は、ユーザーさんに気づかれないままインストールされてしまうことになります。

  1. Microsoft Office をクラックしたい!
    日本語のブログ記事の案内に従い 「KMSPico」 をダウンロード
    『KMSPico を脅威判定するセキュリティソフトを無効化してください』


  2. 「KMSPico」 を名乗るインストーラーを起動する
    《直後にバックドアが裏でコッソリ起動して感染する》


  3. 表示されたインストーラー画面の右下ボタンを脊髄反射でポチッと押す


  4. アドウェアや迷惑ソフトがどんどんインストールされる
    《ついでにスパイウェアが裏でコッソリ起動して感染する》

この手の怪しいブツには縁がないというユーザーさんはいるかもしれません。

ただ、こういう危険なファイルが 「Windows のフォントファイル」 「ゲームのチートツール」 「アダルト映像、海賊版のアニメや映画を視聴する再生ソフト」 「YouTube など動画配信サイトのダウンロードソフト」 みたいな名目で配布されているので、注意が必要です。

関連するブログ記事