2014年05月09日

Windows LoaderとKMSpicoについて

 3月に『ヤフオクの「Windows 7が1,000円」は安いのか?』という記事を掲載しましたが、ブログの編集画面を見ていると、「Windows Loader」と「KMSpico」というキーワードで訪問してくれた人がけっこういて、私も興味があったのでこの2つを海外サイトで調べてみました。しかし結果は日本語のサイトとほとんど変わりありません。「この2つはウィルスである」「非合法である」から使ってはならない、という建前論と、根も葉もないデタラメを書いたフォーラム、ほとんどのサイトがこの2つに大別されます(フォーラムはいろんな人が投稿するので、英語が無茶苦茶。そのため普段生きた英語に接していない私には解読不能な文章がいくつもありました)。
 今回はその中でもまだましかな、と思った記事を2つ訳してみました。
 拙訳のため間違いがあったら教えていただければ幸いです。


HacktoolであるWindows LoaderはWindowsのシステムに感染を広め、その支配権を掌握するためにハッカーたちによって開発されたトロイの木馬の一種である(訳注:プログラムを不正に改ざんすることをクラックというが、Windows Loaderの場合、感染すると外部からのアクセスが可能になるのでHacktoolの一つとしてみなされているのだと思われる)。Hacktoolはたいていkeyloggingをする能力をもち、パスワードのような個人データを盗み取り、さらには大規模な電子メールによる攻撃を実行するために、個人的なインスタント・メッセージや電子メールアカウントを使うことすらできる(訳注:keyloggingとは叩いたキーボードのログを記録すること)。この種のマルウェアは、トロイの木馬やウィルス、ワーム、キーロガー(keyloggers)と全く同じようにインターフェイスをもたず、すべての有害な装置は、システムの背後で深く隠密に作動する。

加えてこのWindowsの感染は、ルートキット(rootkit:クラッカーが遠隔地のコンピュータに不正に侵入した後に利用するソフトウェアをまとめたパッケージのこと)がトロイの木馬であり、それが意味するところは、アプリケーション・ファイルが現行のセキュリティ・ソフトの検出や駆除から隠れうるということである。自分のPCの内部でHacktoolが作動するところが見えず、それを除去することもできないという事実にもかかわらず、Windows Loaderが作動すればすぐに、様々なシステムの変化をたどることで、その存在に簡単に気づくこともできる。これらの変化の中には、除去されたWindowsのコントロールや極度に低下したPCのパフォーマンス速度が含まれる。したがってもしこのような症状がすでに起きているなら、もはやこれ以上検査と駆除の手順を先延ばしにしてはならない。さもなくば、コンピューターが修復不能になり、すべてのデータが永遠に消滅してしまいうるのだ。

タスクマネージャーにおいてトロイの木馬が作動するのをチェックすることはできないだろうが、このWindowsのツールにアクセスするという特権が除去されたおかげで、悪意に満ちた感染は様々なexeファイルやdllファイルで構成され、その中のいくつかは覆い隠されてさえいるのだ。Windows Loaderの中でもっとも危険な実行ファイルは、204.exe、keygen.exe、patch.exeであり、この3つのファイルすべてが首尾一貫して内密に作動する。そのため感染全体が見えなくなり、(ハッカーたちの)都合のいいようにシステムデータを不正に改ざんする。最近の(有害な)ファイルはその汚染の中にルートキットの要素を導入することに寄与し、そしてまたセキュリティ・ポリシーを修正し、トレース不可能なインターネット接続を作り出し、(PC所有者の)ブラウザの履歴を記録するためにBHO(Browser Helper Objects:Internet Explorerで使用するプラグインを第3者でも作成することができるようにする仕組み及びその仕組みによって生成されたCOMのこと)を登録し、あるいは様々なニセのセキュリティ関連の警告を流すことさえできる。この事実はWindows Loaderがニセのアンチウィルスソフトをダウンロードできることを意味し、(PC所有者の)個人データとファイナンシャルデータ(カード番号など)にとってより大きな危険を作り出すことになる。Keygen.exeはタスクマネージャーとレジストリエディタへのアクセスを除去し、ウィンドウズ・セキュリティ・センターを修正することができ、そのためWindows Loaderへの感染を検知し除去することが不可能になる。そして一度トロイの木馬が隠され、接続が確立されれば、204.exeが(PC所有者の)電子メールアカウントを、スパム電子メールでの攻撃によって感染を広げるのに使うのは確実であろう。加えて、このファイルはオートエグゼック・バットファイルに集められた電話帳の詳細と他のデータを記録することができ、そのデータは後に、さらなる悪巧みに利用されうる。

トロイの木馬というルートキットはむやみにいじくるべきはない。自分のコンピューターからWindows Loaederを駆除するもっとも有効な方法は、充分に装備をつくされたウィルス自動除去ソフトを使うことである!もし手動でトロイの木馬を扱えると考えているならば、慎重に自分の経験を評価し、もし過去にルートキットの駆除に成功したことがないのならば、正当で合法的なソフトウェアの選択に忠実であるべきである。
(訳注)keygen.exeの「keygen」はおそらくKey Generator(自動番号生成機)の略でしょう。
 これは先に述べたうちの建前論に入る記事でしょう。記事としての面白みに欠け、やや大げさな感じがしますが、ここに書かれていることは概ね事実だと思います。
 また私の個人的見解ですが、アンチ・ウィルスソフトを過信してはいけません。私がヤフオクでソフトの詰め合わせを買ってファイルをダウンロードしても、クラックファイルが入っているフォルダを開けないとアンチ・ウィルスソフトは作動しませんでした。スキャンを実行しても同じことでしょう。所詮たんなる気休めのような気がします。

次はKMSpicoについてです。この記事は興味深いことを書いていますが、専門用語が非常に多く、わかりにくいです。さらにSource Codeというものを載せていますが、私には何のことやらさっぱりわかりませんでした。

なぜKMSpicoのようなアクティベーターを使うべきではないのか?
▲ソースコードをもつKMSpicoの構造
私はいくつかの理由からソースコードを暴露することができない。
申し訳ありません。

▲KMSpicoはどのように作動するのか?
KMSpicoはWindowsなどのライセンス認証をするために合法的なKMSの方式を使っていると多くの人が主張しているが、事実ではない。それは[127.0.0.1]というIPアドレスをもつWindowsの記憶域の中にエミュレーション(Emulation)を作り出す(Emulation:あるコンピューター上において、他機種のコンピューターの動作をプログラムで擬似的に行うこと)。それはあなた自身のマシーンなのだ。それが意味するところは、マイクロソフトのウェブサイトで言及されているような方法でアクティベートするのではないということである。

▲(KMSpicoが作用する)ステップ
1)KMSpicoは後述するように独自のIDを使ってOSを識別する。
2)割り込みや補足されることを阻止するため、Smart-screenフィルタを使用不可にする。
(訳注:Smart-screenフィルタ:フィッシング詐欺やマルウェアからユーザーを守るためInternet-Explorerに装備された機能)
3)Windows Defenderの機能を停止し、補足されるのを防ぐため、アンチウィルスソフトやDefenderの例外リストの中に自分自身を付け加える。
4)競合を防ぐため、"C:\Windows\Setup\Script"からscriptの値を除去する。ついにはレジストリ・エディタやMergeメソッドを使用するシステムの中に統合されている16進数の値をわずかしかもたなくなる。
これらのプロセスはバックグランドで起こっている。なぜならコマンドが全くアウトプットを発生させない特殊な"nul "メソッドを使っているからである。
(バックグラウンド:多重処理環境で、優先度の高い処理の空き時間を利用して実行される、優先度の低い処理)
(Null Method:電流のような未知の量が、ホイートストン・ブリッジの内部のような同じ種類の既知の量と比較され、検知器の反応がゼロであることによって等しいことがわかる測定の方式)

結局、アクティベーションの状態においてほんの少しの変化が生じるだけで、マシーンのライセンス認証がなされる。
 KMSpicoはまたアクティベーションの状態を完全に保つため、毎日23時59分59秒に起動するというスケジュールされたタスクとサービスを1つ追加する。スケジュールされたタスクはバックグラウンドで作動し、そのため(PCの)所有者はそれが作動していることに気づかない。KMSpicoは180日間Windowsをアクティベートすると書かれているが、それは虚偽の表示である。なぜならそれは毎日延長されているからだ。
 所有者がKMSpicoに管理権を与えているから、それはこのような行為をすることができるのである。
 これがKMSpicoが機能する方法である。それはちょうど他のアクティベーターと似てはいるが、より機能的に優れている。
 何も特別なことはなく、すべてが非合法であることを忘れてはいけない。

1)OSを認識し、それにしたがって自己認識をする。そのソース・コードは以下のとおり
-----------------------------------------------------------------------------------
<!-- If your application is designed to work with Windows Vista, uncomment the following supportedOS node--><!--<supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"></supportedOS>--><!-- If your application is designed to work with Windows 7, uncomment the following supportedOS node-->
<!--<supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/
>--><!-- If your application is designed to work with Windows 8, 
uncomment the following supportedOS node--><!--<supportedOS Id=
"{4a2f28e3-53b9-4441-ba9c-d69d4a4a6e38}"></supportedOS>-->
-----------------------------------------------------------------------------------
2)Smart-Screenを使用不可にするので、Smart-ScreenとDefender
サービスは止められ、(PC所有者は)KMSpicoが自分のファイルにア
クセスしているかどうかわからない。コードは以下のとおり。
------------------------------------------------------------------------------------
SET RQR=REG QUERY "HKLM\SOFTWARE\Microsoft\
Internet Explorer" /v "Version"%RQR% | findstr /I "\<10\>" 
>nul && %INL% reg add "HKEY_CURRENT_USER\Software
\Microsoft\

Internet Explorer\PhishingFilter" /v EnabledV9 /t REG_DWORD /d "00000000" /f >nul

Const HKEY_LOCAL_MACHINE = &H80000002
Dim StrComputer,strKeyPath,strValueName
Dim objRegistry

strComputer = "."
Set objRegistry = GetObject("winmgmts:\\" & strComputer & "\root\default:StdRegProv")
 
strKeyPath = "SOFTWARE\Policies\Microsoft\Windows\System\"
strValueName = "EnableSmartScreen"
objRegistry.GetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
 
Dim RegKeyPath
Set objShell = CreateObject("Wscript.Shell")
regKeyPath = "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen"
 
'determine if a registry key exists
If IsNull(dwValue) Then
'if the registry key does not exist, create a new registry key
objShell.RegWrite regKeyPath,0,"REG_DWORD"
WScript.Echo "Turn off SmartScreen successfully."
Else
If dwValue = 0 Then
WScript.Echo "You have already turn off SmartScreen successfully."
Else
objShell.RegWrite regKeyPath,0,"REG_DWORD"
WScript.Echo "Turn off SmartScreen successfully."
End If
End If
------------------------------------------------------------------------------------
3)捕捉されないようにDefenderサービスを停止し、そしてアンチ・ウィルスソフトの例外リストに自己を付け加える。コードは以下のとおり。
------------------------------------------------------------------------------------
NET STOP "Windows Defender Service" > nul 2>&1
------------------------------------------------------------------------------------
4)競合を防ぐため、Cドライブからスクリプト全体を除去する。コードは以下のとおり。
------------------------------------------------------------------------------------
RMDIR /S /Q "C:\Windows\Setup\Scripts"
RD /S /Q "C:\Windows\Setup\Scripts"
------------------------------------------------------------------------------------
5)KMSpicoはスケジュールされたサービスとタスクをインストールするため、毎日23時59分59秒に起動し、アクティベーションを延長する。180日間アクティベートするというのは虚偽の表示で、アクティベートは永遠に続きうる。そのコードは以下のとおり。
------------------------------------------------------------------------------------
start /wait KMSpico.exe
regedit /s RunOnce.reg

pushd "%~dp0"
set directorio=%~dp0
set name="AutoPico Daily Restart"
SCHTASKS /Create /TN %name% /TR "%directorio%AutoPico.exe /silent" /SC DAILY /ST 11:59:59 /RU SYSTEM /RL Highest

pushd "%~dp0"
set dr=%~dp0
set name="Service KMSELDI"
sc create %name% binPath= "%dr%Service_KMS.exe" type= own error= normal start= auto DisplayName= %name%
rem sc start %name%
------------------------------------------------------------------------------------
6)プロダクトキーのアクティベーションの16進数の値を自己のものと置き換える。16進数の値は\KMSpico\cert\(というフォルダ)で見つけられうる。そこでは2010 Office certと2013 Office certのような各々のOffice製品に対して3つの異なるフォルダを見出すだろう。

レジストリ・エディタのファイルで3つの16進数の値を見出すことができる。\certフォルダの中にはおよそ45個の16進数の値がある。Word、Powerpoint、Excelなどの各々のOfficeソフトの製品に対して、3つの16進数の値がある。KMSpicoはまた\KMSpico\cert\の中で以下の一例のように書き換えていることも、ファイルを見ればわかる。
------------------------------------------------------------------------------------
"ProductID"="00219-40000-00000-AA810"
"DigitalProductID"=hex:f8,04,00,00,04,00,00,00,38,00,32,00,35,00,30,00,33,00,\
2d,00,30,00,32,00,31,00,39,00,34,00,2d,00,30,00,30,00,30,00,2d,00,30,00,30,\
00,30,00,30,00,30,00,30,00,2d,00,30,00,33,00,2d,00,32,00,30,00,35,00,32,00,\
2d,00,39,00,32,00,30,00,30,00,2e,00,30,00,30,00,30,00,30,00,2d,00,33,00,30,\
00,34,00,32,00,30,00,31,00,32,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,65,00,31,00,33,00,61,\
00,63,00,31,00,30,00,65,00,2d,00,37,00,35,00,64,00,30,00,2d,00,34,00,61,00,\
66,00,66,00,2d,00,61,00,30,00,63,00,64,00,2d,00,37,00,36,00,34,00,39,00,38,\
00,32,00,63,00,66,00,35,00,34,00,31,00,63,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,56,00,69,00,73,00,69,00,6f,00,50,00,72,\
00,6f,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,92,08,00,00,00,00,cc,46,47,a9,\
a2,ba,7c,4d,09,00,d4,e0,37,84,8c,77,18,67,58,91,b4,8a,cd,83,77,95,3b,b6,00,\
0d,6a,4f,7d,47,cc,65,fe,b8,b5,c3,ae,c2,ca,97,f4,ab,b9,a0,b6,0c,bf,07,0f,62,\
6f,f1,e9,46,73,7e,05,6e,9c,c2,99,75,09,81,74,ac,95,c6,b7,0e,58,00,31,00,38,\
00,2d,00,33,00,33,00,32,00,38,00,37,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,56,00,\
6f,00,6c,00,75,00,6d,00,65,00,3a,00,47,00,56,00,4c,00,4b,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,6c,00,74,00,4b,00,4d,00,53,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00
------------------------------------------------------------------------------------
注釈:(所有者が)KMSpicoに管理権を与えているから、それは自分が望むことを何でもでき、(所有者の)致命的なファイル・システムにアクセスし、そのシステムを不安定な状態に変化をもたらすことさえできる。それはこのプロセスの中で所有者の個人情報を記載したファイルにアクセスすることさえできる。

いろんな記事を見てわかったのは、Windows LoaderにしてもKMSpicoにしても一度感染したら駆除は非常に困難であるということです。この事実を踏まえると熟練したプログラマー並みの知識がないとこれらのクラックファイルは扱えない、手を出してはいけないということになります。
posted by つばさ at 01:09| Comment(2) | TrackBack(0) | コンピューター | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
普通にWindowsディフェンダー(ウイルスソフトの中でも検知率低い方の マイクロソフト純正 ウイルスソフト)でも検知されましたよ なので駆除できました。

なのですべてのウイルス対策ソフトが検知しないって訳でもなさそうですし、駆除困難って訳でもなさそうでした、まぁ軽い実験結果だと思っててくれるとありがたいです。
Posted by 匿名で失礼します at 2016年09月05日 16:14
普通にWindowsディフェンダー(ウイルスソフトの中でも検知率低い方の マイクロソフト純正 ウイルスソフト)でも検知されましたよ なので駆除できました。

なのですべてのウイルス対策ソフトが検知しないって訳でもなさそうですし、駆除困難って訳でもなさそうでした、まぁ軽い実験結果だと思っててくれるとありがたいです。
Posted by 匿名で失礼します at 2016年09月05日 16:15
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/396582828

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。