カテゴリ別コンテンツ一覧

海外文学
日本文学
夏目漱石
政治・経済・社会・文化
自然科学
映画・洋楽
随筆
日記
Windows

2014年05月09日

Windows LoaderとKMSpicoについて

 3月に『ヤフオクの「Windows 7が1,000円」は安いのか?』という記事を掲載しましたが、ブログの編集画面を見ていると、「Windows Loader」と「KMSpico」というキーワードで訪問してくれた人がけっこういて、私も興味があったのでこの2つを海外サイトで調べてみました。しかし結果は日本語のサイトとほとんど変わりありません。「この2つはウィルスである」「非合法である」から使ってはならない、という建前論と、根も葉もないデタラメを書いたフォーラム、ほとんどのサイトがこの2つに大別されます(フォーラムはいろんな人が投稿するので、英語が無茶苦茶。そのため普段生きた英語に接していない私には解読不能な文章がいくつもありました)。
 今回はその中でもまだましかな、と思った記事を2つ訳してみました。
 拙訳のため間違いがあったら教えていただければ幸いです。


HacktoolであるWindows LoaderはWindowsのシステムに感染を広め、その支配権を掌握するためにハッカーたちによって開発されたトロイの木馬の一種である(訳注:プログラムを不正に改ざんすることをクラックというが、Windows Loaderの場合、感染すると外部からのアクセスが可能になるのでHacktoolの一つとしてみなされているのだと思われる)。Hacktoolはたいていkeyloggingをする能力をもち、パスワードのような個人データを盗み取り、さらには大規模な電子メールによる攻撃を実行するために、個人的なインスタント・メッセージや電子メールアカウントを使うことすらできる(訳注:keyloggingとは叩いたキーボードのログを記録すること)。この種のマルウェアは、トロイの木馬やウィルス、ワーム、キーロガー(keyloggers)と全く同じようにインターフェイスをもたず、すべての有害な装置は、システムの背後で深く隠密に作動する。

加えてこのWindowsの感染は、ルートキット(rootkit:クラッカーが遠隔地のコンピュータに不正に侵入した後に利用するソフトウェアをまとめたパッケージのこと)がトロイの木馬であり、それが意味するところは、アプリケーション・ファイルが現行のセキュリティ・ソフトの検出や駆除から隠れうるということである。自分のPCの内部でHacktoolが作動するところが見えず、それを除去することもできないという事実にもかかわらず、Windows Loaderが作動すればすぐに、様々なシステムの変化をたどることで、その存在に簡単に気づくこともできる。これらの変化の中には、除去されたWindowsのコントロールや極度に低下したPCのパフォーマンス速度が含まれる。したがってもしこのような症状がすでに起きているなら、もはやこれ以上検査と駆除の手順を先延ばしにしてはならない。さもなくば、コンピューターが修復不能になり、すべてのデータが永遠に消滅してしまいうるのだ。

タスクマネージャーにおいてトロイの木馬が作動するのをチェックすることはできないだろうが、このWindowsのツールにアクセスするという特権が除去されたおかげで、悪意に満ちた感染は様々なexeファイルやdllファイルで構成され、その中のいくつかは覆い隠されてさえいるのだ。Windows Loaderの中でもっとも危険な実行ファイルは、204.exe、keygen.exe、patch.exeであり、この3つのファイルすべてが首尾一貫して内密に作動する。そのため感染全体が見えなくなり、(ハッカーたちの)都合のいいようにシステムデータを不正に改ざんする。最近の(有害な)ファイルはその汚染の中にルートキットの要素を導入することに寄与し、そしてまたセキュリティ・ポリシーを修正し、トレース不可能なインターネット接続を作り出し、(PC所有者の)ブラウザの履歴を記録するためにBHO(Browser Helper Objects:Internet Explorerで使用するプラグインを第3者でも作成することができるようにする仕組み及びその仕組みによって生成されたCOMのこと)を登録し、あるいは様々なニセのセキュリティ関連の警告を流すことさえできる。この事実はWindows Loaderがニセのアンチウィルスソフトをダウンロードできることを意味し、(PC所有者の)個人データとファイナンシャルデータ(カード番号など)にとってより大きな危険を作り出すことになる。Keygen.exeはタスクマネージャーとレジストリエディタへのアクセスを除去し、ウィンドウズ・セキュリティ・センターを修正することができ、そのためWindows Loaderへの感染を検知し除去することが不可能になる。そして一度トロイの木馬が隠され、接続が確立されれば、204.exeが(PC所有者の)電子メールアカウントを、スパム電子メールでの攻撃によって感染を広げるのに使うのは確実であろう。加えて、このファイルはオートエグゼック・バットファイルに集められた電話帳の詳細と他のデータを記録することができ、そのデータは後に、さらなる悪巧みに利用されうる。

トロイの木馬というルートキットはむやみにいじくるべきはない。自分のコンピューターからWindows Loaederを駆除するもっとも有効な方法は、充分に装備をつくされたウィルス自動除去ソフトを使うことである!もし手動でトロイの木馬を扱えると考えているならば、慎重に自分の経験を評価し、もし過去にルートキットの駆除に成功したことがないのならば、正当で合法的なソフトウェアの選択に忠実であるべきである。
(訳注)keygen.exeの「keygen」はおそらくKey Generator(自動番号生成機)の略でしょう。
 これは先に述べたうちの建前論に入る記事でしょう。記事としての面白みに欠け、やや大げさな感じがしますが、ここに書かれていることは概ね事実だと思います。
 また私の個人的見解ですが、アンチ・ウィルスソフトを過信してはいけません。私がヤフオクでソフトの詰め合わせを買ってファイルをダウンロードしても、クラックファイルが入っているフォルダを開けないとアンチ・ウィルスソフトは作動しませんでした。スキャンを実行しても同じことでしょう。所詮たんなる気休めのような気がします。

次はKMSpicoについてです。この記事は興味深いことを書いていますが、専門用語が非常に多く、わかりにくいです。さらにSource Codeというものを載せていますが、私には何のことやらさっぱりわかりませんでした。

なぜKMSpicoのようなアクティベーターを使うべきではないのか?
▲ソースコードをもつKMSpicoの構造
私はいくつかの理由からソースコードを暴露することができない。
申し訳ありません。

▲KMSpicoはどのように作動するのか?
KMSpicoはWindowsなどのライセンス認証をするために合法的なKMSの方式を使っていると多くの人が主張しているが、事実ではない。それは[127.0.0.1]というIPアドレスをもつWindowsの記憶域の中にエミュレーション(Emulation)を作り出す(Emulation:あるコンピューター上において、他機種のコンピューターの動作をプログラムで擬似的に行うこと)。それはあなた自身のマシーンなのだ。それが意味するところは、マイクロソフトのウェブサイトで言及されているような方法でアクティベートするのではないということである。

▲(KMSpicoが作用する)ステップ
1)KMSpicoは後述するように独自のIDを使ってOSを識別する。
2)割り込みや補足されることを阻止するため、Smart-screenフィルタを使用不可にする。
(訳注:Smart-screenフィルタ:フィッシング詐欺やマルウェアからユーザーを守るためInternet-Explorerに装備された機能)
3)Windows Defenderの機能を停止し、補足されるのを防ぐため、アンチウィルスソフトやDefenderの例外リストの中に自分自身を付け加える。
4)競合を防ぐため、"C:\Windows\Setup\Script"からscriptの値を除去する。ついにはレジストリ・エディタやMergeメソッドを使用するシステムの中に統合されている16進数の値をわずかしかもたなくなる。
これらのプロセスはバックグランドで起こっている。なぜならコマンドが全くアウトプットを発生させない特殊な"nul "メソッドを使っているからである。
(バックグラウンド:多重処理環境で、優先度の高い処理の空き時間を利用して実行される、優先度の低い処理)
(Null Method:電流のような未知の量が、ホイートストン・ブリッジの内部のような同じ種類の既知の量と比較され、検知器の反応がゼロであることによって等しいことがわかる測定の方式)

結局、アクティベーションの状態においてほんの少しの変化が生じるだけで、マシーンのライセンス認証がなされる。
 KMSpicoはまたアクティベーションの状態を完全に保つため、毎日23時59分59秒に起動するというスケジュールされたタスクとサービスを1つ追加する。スケジュールされたタスクはバックグラウンドで作動し、そのため(PCの)所有者はそれが作動していることに気づかない。KMSpicoは180日間Windowsをアクティベートすると書かれているが、それは虚偽の表示である。なぜならそれは毎日延長されているからだ。
 所有者がKMSpicoに管理権を与えているから、それはこのような行為をすることができるのである。
 これがKMSpicoが機能する方法である。それはちょうど他のアクティベーターと似てはいるが、より機能的に優れている。
 何も特別なことはなく、すべてが非合法であることを忘れてはいけない。

1)OSを認識し、それにしたがって自己認識をする。そのソース・コードは以下のとおり
-----------------------------------------------------------------------------------
<!-- If your application is designed to work with Windows Vista, uncomment the following supportedOS node--><!--<supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"></supportedOS>--><!-- If your application is designed to work with Windows 7, uncomment the following supportedOS node-->
<!--<supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/
>--><!-- If your application is designed to work with Windows 8, 
uncomment the following supportedOS node--><!--<supportedOS Id=
"{4a2f28e3-53b9-4441-ba9c-d69d4a4a6e38}"></supportedOS>-->
-----------------------------------------------------------------------------------
2)Smart-Screenを使用不可にするので、Smart-ScreenとDefender
サービスは止められ、(PC所有者は)KMSpicoが自分のファイルにア
クセスしているかどうかわからない。コードは以下のとおり。
------------------------------------------------------------------------------------
SET RQR=REG QUERY "HKLM\SOFTWARE\Microsoft\
Internet Explorer" /v "Version"%RQR% | findstr /I "\<10\>" 
>nul && %INL% reg add "HKEY_CURRENT_USER\Software
\Microsoft\

Internet Explorer\PhishingFilter" /v EnabledV9 /t REG_DWORD /d "00000000" /f >nul

Const HKEY_LOCAL_MACHINE = &H80000002
Dim StrComputer,strKeyPath,strValueName
Dim objRegistry

strComputer = "."
Set objRegistry = GetObject("winmgmts:\\" & strComputer & "\root\default:StdRegProv")
 
strKeyPath = "SOFTWARE\Policies\Microsoft\Windows\System\"
strValueName = "EnableSmartScreen"
objRegistry.GetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
 
Dim RegKeyPath
Set objShell = CreateObject("Wscript.Shell")
regKeyPath = "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen"
 
'determine if a registry key exists
If IsNull(dwValue) Then
'if the registry key does not exist, create a new registry key
objShell.RegWrite regKeyPath,0,"REG_DWORD"
WScript.Echo "Turn off SmartScreen successfully."
Else
If dwValue = 0 Then
WScript.Echo "You have already turn off SmartScreen successfully."
Else
objShell.RegWrite regKeyPath,0,"REG_DWORD"
WScript.Echo "Turn off SmartScreen successfully."
End If
End If
------------------------------------------------------------------------------------
3)捕捉されないようにDefenderサービスを停止し、そしてアンチ・ウィルスソフトの例外リストに自己を付け加える。コードは以下のとおり。
------------------------------------------------------------------------------------
NET STOP "Windows Defender Service" > nul 2>&1
------------------------------------------------------------------------------------
4)競合を防ぐため、Cドライブからスクリプト全体を除去する。コードは以下のとおり。
------------------------------------------------------------------------------------
RMDIR /S /Q "C:\Windows\Setup\Scripts"
RD /S /Q "C:\Windows\Setup\Scripts"
------------------------------------------------------------------------------------
5)KMSpicoはスケジュールされたサービスとタスクをインストールするため、毎日23時59分59秒に起動し、アクティベーションを延長する。180日間アクティベートするというのは虚偽の表示で、アクティベートは永遠に続きうる。そのコードは以下のとおり。
------------------------------------------------------------------------------------
start /wait KMSpico.exe
regedit /s RunOnce.reg

pushd "%~dp0"
set directorio=%~dp0
set name="AutoPico Daily Restart"
SCHTASKS /Create /TN %name% /TR "%directorio%AutoPico.exe /silent" /SC DAILY /ST 11:59:59 /RU SYSTEM /RL Highest

pushd "%~dp0"
set dr=%~dp0
set name="Service KMSELDI"
sc create %name% binPath= "%dr%Service_KMS.exe" type= own error= normal start= auto DisplayName= %name%
rem sc start %name%
------------------------------------------------------------------------------------
6)プロダクトキーのアクティベーションの16進数の値を自己のものと置き換える。16進数の値は\KMSpico\cert\(というフォルダ)で見つけられうる。そこでは2010 Office certと2013 Office certのような各々のOffice製品に対して3つの異なるフォルダを見出すだろう。

レジストリ・エディタのファイルで3つの16進数の値を見出すことができる。\certフォルダの中にはおよそ45個の16進数の値がある。Word、Powerpoint、Excelなどの各々のOfficeソフトの製品に対して、3つの16進数の値がある。KMSpicoはまた\KMSpico\cert\の中で以下の一例のように書き換えていることも、ファイルを見ればわかる。
------------------------------------------------------------------------------------
"ProductID"="00219-40000-00000-AA810"
"DigitalProductID"=hex:f8,04,00,00,04,00,00,00,38,00,32,00,35,00,30,00,33,00,\
2d,00,30,00,32,00,31,00,39,00,34,00,2d,00,30,00,30,00,30,00,2d,00,30,00,30,\
00,30,00,30,00,30,00,30,00,2d,00,30,00,33,00,2d,00,32,00,30,00,35,00,32,00,\
2d,00,39,00,32,00,30,00,30,00,2e,00,30,00,30,00,30,00,30,00,2d,00,33,00,30,\
00,34,00,32,00,30,00,31,00,32,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,65,00,31,00,33,00,61,\
00,63,00,31,00,30,00,65,00,2d,00,37,00,35,00,64,00,30,00,2d,00,34,00,61,00,\
66,00,66,00,2d,00,61,00,30,00,63,00,64,00,2d,00,37,00,36,00,34,00,39,00,38,\
00,32,00,63,00,66,00,35,00,34,00,31,00,63,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,56,00,69,00,73,00,69,00,6f,00,50,00,72,\
00,6f,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,92,08,00,00,00,00,cc,46,47,a9,\
a2,ba,7c,4d,09,00,d4,e0,37,84,8c,77,18,67,58,91,b4,8a,cd,83,77,95,3b,b6,00,\
0d,6a,4f,7d,47,cc,65,fe,b8,b5,c3,ae,c2,ca,97,f4,ab,b9,a0,b6,0c,bf,07,0f,62,\
6f,f1,e9,46,73,7e,05,6e,9c,c2,99,75,09,81,74,ac,95,c6,b7,0e,58,00,31,00,38,\
00,2d,00,33,00,33,00,32,00,38,00,37,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,56,00,\
6f,00,6c,00,75,00,6d,00,65,00,3a,00,47,00,56,00,4c,00,4b,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,6c,00,74,00,4b,00,4d,00,53,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00
------------------------------------------------------------------------------------
注釈:(所有者が)KMSpicoに管理権を与えているから、それは自分が望むことを何でもでき、(所有者の)致命的なファイル・システムにアクセスし、そのシステムを不安定な状態に変化をもたらすことさえできる。それはこのプロセスの中で所有者の個人情報を記載したファイルにアクセスすることさえできる。

いろんな記事を見てわかったのは、Windows LoaderにしてもKMSpicoにしても一度感染したら駆除は非常に困難であるということです。この事実を踏まえると熟練したプログラマー並みの知識がないとこれらのクラックファイルは扱えない、手を出してはいけないということになります。
posted by つばさ at 01:09| Comment(2) | TrackBack(0) | コンピューター | このブログの読者になる | 更新情報をチェックする
記事一覧
ヤフオクの「Windows 7が1,000円」は安いのか?(続編)(7月21日)
『頭を冷やすための靖国論』――今一度あの戦争を振り返る(5月21日)
Windows LoaerとKMSpicoについて(5月9日)
Windowsのトラブル・エラーメッセージは海外のサイトで解決!(3月19日)
ヤフオクの「Windows 7が1,000円」は安いのか?(14年3月17日)
夏目漱石『三四郎』――読書感想文例(8月6日)
映画『レ・ミゼラブル』――原作との比較
タイムマシン・タイムトラベルの可能性について(7月21日)
夏目漱石『こころ』――読書感想文例(7月13日)
洋楽名曲セレクション18曲(80年代中心)(7月6日)
映画『フットルース』とサウンドトラック(6月30日)
映画『フラッシュダンス』と80年代音楽シーン(6月28日)
『「相対性理論」を楽しむ本』佐藤勝彦監修 PHP文庫(6月22日)
『暗夜行路』志賀直哉(読書感想文例付き)(6月12日)
世界大恐慌下のアメリカ(6月4日)
『幼年期の終わり』アーサー・C・クラーク(5月28日)
両親が天皇陛下に拝謁しました(5月21日)
夏目漱石『行人』――読書感想文例
『グレート・ギャッツビー(華麗なるギャッツビー)』スコット・フィッツジェラルド(5月7日)
『じぶん・この不思議な存在』鷲田清一著 講談社現代新書
ピーク・オイル――石油が枯渇するとき――(4月23日)
元警察官の父親が叙勲――警察官は大変です――(4月14日)
『平和主義とは何か』 松元雅和著 中公新書(4月9日)
クローン人間(4月2日)
『黒人はなぜ足が速いのか』若原正己著 新潮選書(3月26日)
『国家の品格』藤原正彦著 新潮新書(3月18日)
『韓国のホンネ』安田浩一・朴順梨著 竹書房新書(3月10日)
『ネット右翼の矛盾』――憂国が招く「亡国」――(宝島社新書)(13年3月1日)
『東西ミステリーベスト100』――ミステリーマニアのぼやき――(13年2月21日)
『あの戦争は何だったのか』(保坂正康著)――戦争について考える――(13年2月13日)
『月と六ペンス』サマセット・モーム(13年2月7日)
プロレタリア文化大革命を振り返る(13年1月31日)
『習近平と中国の終焉』富坂聰著 角川SSC新書(13年1月23日)
『悪徳の栄え』マルキ・ド・サド(13年1月15日)
天皇家について調べてみた(13年1月5日)
3進法の魅力と有用性(12月29日)
学生運動――日本が革命を夢見た時代――(12月23日)
『人間の証明』森村誠一(12月15日)
『わたしを離さないで』カズオ・イシグロ(12月7日)
『高慢と偏見』ジェーン・オースティン(12月3日)
男やもめが結婚・離婚について考えてみた(11月21日)
薬物について(補遺)(11月14日)
向精神薬、麻薬などのお話(11月12日)
『鴨川ホルモー』『十角館の殺人』『半落ち』『2001年宇宙の旅』(11月9日)
エス(Es)の脅威(11月3日)
美容整形は必要悪か(10月30日)
映画『愛の嵐』とエロティシズム(10月23日)
最近の小説の書評です(10月18日)
頭がいいとはどういうことか 【其の二】(10月10日)
頭がいいとはどういうことか 【其の一】(10月9日)
夏目漱石――二つの三部作――(9月29日)
『冷たい校舎の時は止まる』辻村深月 (9月27日)
光クラブ事件――山崎晃嗣という男の生き様――(9月19日)
毛根は死なない(9月14日)
追いつめられる愛煙家――愛すべき禁煙ファシストたちへ――(9月9日)
私が影響を受けた名作たち【エンターテイメント】(9月2日)
私が影響を受けた名作たち【古典】(8月19日)
子どもの退廃は大人の堕落の産物(8月14日)
オリンピック、中国女子選手を見て思うこと(8月10日)
TUTAYAで見もしないDVDをまた借りた(8月5日)
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。