Êtes-vous menacé par ce nouveau logiciel malveillant ?

Crackonosh, un nouveau malware introduit dans des logiciels piratés, menace les systèmes d’utilisateurs. Comment s’introduit-il dans votre système et comment fonctionne-t-il ?
Découvrez les étapes que Crackonosh suit pour désactiver Windows Defender et Windows Update ainsi que ses actions anti-détection et anti-forensics.


Découverte du malware Crackonosh

L’entreprise spécialisée en cybersécurité Avast a récemment pris connaissance de rapports clients indiquant que leur antivirus était absent de leurs systèmes – comme le montre l’exemple suivant, provenant de la plateforme Reddit.

Carte avec la répartition mondiale de Crackonosh

À partir de ce rapport et de quelques autres, Avast a pu découvrir un nouveau logiciel malveillant, qu’ils ont baptisé « Crackonosh », en référence à l’auteur du malware supposément de nationalité tchèque. Crackonosh, distribué avec des copies illégales et piratées de logiciels répandus, recherche puis désactive de nombreux programmes antivirus dans le cadre de ses stratégies anti-détection et anti-forensics.

Avast a constaté que le malware Crackonosh dépose trois fichiers clés : winrmsrv.exe, winscomrssrv.dll et winlogui.exe.

Utilisateurs infectés par Crackonosh depuis décembre 2020
Nombre d’utilisateurs infectés par Crackonosh depuis décembre 2020. En mai, il s’agit toujours d’un millier de visites par jour

Crackonosh procédait en installant le cheval de Troie coinminer XMRig permettant de prendre possession d’un ordinateur pour miner des cryptomonnaies. Dans un des wallets, Avast a trouvé des statistiques. Ainsi, les sites de pool ont montré des paiements de 9000 XMR au total, c’est à dire avec des prix actuels de plus de 2 000 000 $.

Statistiques de minage de xmrpool.eu
Statistiques de xmrpool.eu
Statistiques de minage de MoneroHash
Statistiques de MoneroHash

Installation de Crackonosh

Le schéma ci-dessous illustre le processus d’installation de Crackonosh.

Diagramme d'installation de Crackonosh
Schéma d’installation du malware

Tout d’abord, la victime exécute le programme d’installation du logiciel piraté.
Le programme d’installation exécute alors maintenance.vbs qui lance ensuite l’installation à l’aide de serviceinstaller.msi.
Puis, serviceinstaller.msi s’enregistre et exécute serviceinstaller.exe, le principal exécutable du malware.
Serviceintaller.exe dépose StartupCheckLibrary.DLL.
StartupCheckLibrary.DLL télécharge et exécute wksprtcli.dll.

Wksprtcli.dll extrait le nouveau winlogui.exe et dépose, décrypte et place winscomrssrv.dll et winrmsrv.exe qu’il contient, dans le dossier.
À partir de la date de compilation originale de Crackonosh, Avast a identifié 30 versions différentes de serviceinstaller.exe, le principal exécutable du malware, du 31.01.2018 au 23.11.2020. Il leur a été aisé de découvrir que serviceinstaller.exe est lancé à partir d’une clé de registre créée par Maintenance.vbs.

La suppression de la tâche InstallWinSAT dans Maintenance.vbs est la seule piste indiquant ce qui s’est passé avant que Maintenance.vbs ne crée cette clé de registre et la manière dont les fichiers apparaissent sur l’ordinateur de la victime. Cette traque rondement menée a révélé des journaux de désinstallation contenant les détails du déballage de Crackonosh lorsqu’il est installé avec des logiciels piratés.

Les chaînes suivantes ont été trouvées dans les journaux de désinstallation :

  • {sys}\7z.exe
  • -ir!*.*? e -pflk45DFTBplsd -y « {app}\base_cfg3.scs » -o{sys}
  • -ir!*.*? e -pflk45DFTBplsd -y « {app}\base_cfg4.scs » -o{localappdata}\Programs\Common
  • /Create /SC ONLOGON /TN « Microsoft\Windows\Maintenance\InstallWinSAT » /TR Maintenance.vbs /RL HIGHEST /F
  • /Create /SC ONLOGON /TN « Microsoft\Windows\Application Experience\StartupCheckLibrary » /TR StartupCheck.vbs /RL HIGHEST /F

Cela nous montre que Crackonosh a été stocké dans une archive protégée par un mot de passe et décompressée au cours de l’installation. Voici les installateurs infectés trouvés.

Installateur infectéSHA256
NBA 2K19E497EE189E16CAEF7C881C1C311D994AE75695C5087D09051BE59B0F0051A6CF
Grand Theft Auto V65F39206FE7B706DED5D7A2DB74E900D4FAE539421C3167233139B5B5E125B8A
Far Cry 54B01A9C1C7F0AF74AA1DA11F8BB3FC8ECC3719C2C6F4AD820B31108923AC7B71
Les Sims 4 Saisons7F836B445D979870172FA108A47BA953B0C02D2076CAC22A5953EB05A683EDD4
Euro Truck Simulator 293A3B50069C463B1158A9BB3A8E3EDF9767E8F412C1140903B9FE674D81E32F0
Les Sims 49EC3DE9BB9462821B5D034D43A9A5DE0715FF741E0C171ADFD7697134B936FA3
Jurassic World EvolutionD8C092DE1BF9B355E9799105B146BAAB8C77C4449EAD2BDC4A5875769BB3FB8A
Fallout 4 GOTY6A3C8A3CA0376E295A2A9005DFBA0EB55D37D5B7BF8FCF108F4FFF7778F47584
L’appel de CthulhuD7A9BF98ACA2913699B234219FF8FDAA0F635E5DD3754B23D03D5C3441D94BFB
Pro Evolution Soccer 20188C52E5CC07710BF7F8B51B075D9F25CD2ECE58FD11D2944C6AB9BF62B7FBFA05
We Happy FewC6817D6AFECDB89485887C0EE2B7AC84E4180323284E53994EF70B89C77768E1
Installateurs infectés

Le programme d’installation Inno Setup exécute le script suivant.

S’il estime que l’exécution du malware est « sûre », il installe le malware Crackonosh dans %SystemRoot%\system32\ ainsi qu’un fichier de configuration dans %localappdata%\Programs\Common et crée les tâches InstallWinSAT dans le planificateur de tâches de Windows pour lancer maintenance.vbs et StartupCheckLibrary, pour lancer StartupcheckLibrary.vbs.
Dans le cas contraire, il ne fait rien du tout.

Reconstruction du script d’installation de Crackonosh Inno Setup

Script d'installation de Crackonosh
Script d’installation de Crackonosh

Analyse du script maintenance.vbs

Comme indiqué précédemment, le programme d’installation de Crackonosh enregistre le script maintenance.vbs dans le gestionnaire de tâches de Windows et le configure pour qu’il s’exécute au démarrage du système. Le script Maintenance.vbs crée un compteur, qui comptabilise les démarrages du système jusqu’à ce qu’il atteigne le 7ᵉ ou 10ᵉ démarrage du système, selon la version. Après cela, Maintenance.vbs exécute serviceinstaller.msi, désactive le mode hibernation sur le système infecté et configure le système pour qu’il démarre en mode sans échec au prochain redémarrage. Pour couvrir ses traces, il supprime également serviceinstaller.msi et maintenance.vbs.

Voici le script maintenance.vbs :

Script de maintenance.vbs
Maintenance.vbs

Serviceinstaller.msi ne manipule aucun fichier sur le système. Il modifie uniquement le registre pour enregistrer serviceinstaller.exe, le principal exécutable du malware, en tant que service et lui permettre de fonctionner en mode sans échec. Ci-dessous, les entrées de registre effectuées par serviceinstaller.msi.

Capture d'écran de la visionneuse MSI de serviceinstaller.msi
Capture d’écran de la visionneuse MSI de serviceinstaller.msi

Utiliser le mode sans échec pour désactiver le défenseur et l’antivirus de Windows

Lorsque le système Windows est en mode sans échec, les logiciels antivirus ne fonctionnent pas. Cela peut permettre à Serviceinstaller.exe de désactiver et de supprimer facilement Windows Defender. Il utilise également WQL pour interroger tous les logiciels antivirus installés SELECT * FROM AntiVirusProduct. S’il trouve l’un des produits antivirus suivants, il le supprime avec la commande rd <AV directory> /s /q, où <AV directory> est le nom du répertoire par défaut que le produit antivirus spécifique utilise.

  • Adaware
  • Bitdefender
  • Escan
  • F-secure
  • Kaspersky
  • Mcafee (scanner uniquement)
  • Norton
  • Panda

Crackonosh détient les noms des dossiers où les antivirus sont installés, qu’il supprime finalement %PUBLIC%\Desktop\.

Les anciennes versions de serviceinstaller.exe utilisaient pathToSignedProductExe pour obtenir le dossier contenant le produit. Ce dossier était ensuite supprimé. De cette façon, Crackonosh pouvait supprimer les anciennes versions d’Avast où les versions actuelles dont l’auto-défense était désactivée.

Le malware dépose également StartupCheckLibrary.dll et winlogui.exe dans le dossier %SystemRoot%\system32\.

Dans les anciennes versions de serviceinstaller.exe, le malware dépose windfn.exe, qui est responsable du dépôt et de l’exécution de winlogui.exe. Winlogui.exe contient coinminer XMRig et dans les versions plus récentes, le serviceinstaller dépose winlogui et crée l’entrée de registre suivante.

Entrée du registre Crackonosh connection du PC au mining pool
Le PC infecté est connecté au miningpool à chaque démarrage

Désactiver Windows Defender et Windows Update

Le malware Crackonosh supprime les entrées de registre suivantes pour arrêter Windows Defender et désactiver les mises à jour automatiques.

Commandes exécutées par serviceinstaller.exe
Commandes exécutées par serviceinstaller.exe

À la place de Windows Defender, Crackonosh installe son propre MSASCuiL.exe qui affiche l’icône de Windows Security dans la barre d’état système.

Fausse icône Windows Defendera
L’icône correspond à l’officielle
Windows Defender supprimé
Windows Defender supprimé

Recherche de fichiers de configuration

L’examen du comportement de winrmsrv.exe (aaf2770f78a3d3ec237ca14e0cb20f4a05273ead04169342ddb989431c537e83) a relevé un point intéressant dans ses appels API contenant plus de mille appels de FindFirstFileExW et FindNextFileExW. Avast s’est penché sur le fichier recherché. Malheureusement, l’auteur du malware a caché le nom du fichier derrière un hachage SHA256 comme indiqué ci-dessous.

Recherche d'un fichier par hachage de winrmsrv.exe.
Fonction de recherche d’un fichier par hachage du nom de fichier de winrmsrv.exe
Certains nœuds sont regroupés pour une meilleure lisibilité

Sur cette image, nous observons la fonction de recherche d’un fichier par hachage du nom de fichier de winrmsrv.exe. Certains nœuds sont regroupés pour une meilleure lisibilité.
Cette technique a été utilisée dans d’autres parties de Crackonosh, parfois avec SHA1.

Voici une liste des hachages recherchés et des noms et chemins correspondants. Dans le cas de UserAccountControlSettingsDevice.dat, la recherche est également effectuée de manière récursive dans tous les sous-dossiers.

  • Dans CSIDL_SYSTEM
    • Fichier 7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450
      • SHA1: F3764EC8078B4524428A8FC8119946F8E8D99A27
      • SHA256: 86CC68FBF440D4C61EEC18B08E817BB2C0C52B307E673AE3FFB91ED6E129B273
    • Fichier 7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450B
      • SHA1: 1063489F4BDD043F72F1BED6FA03086AD1D1DE20
      • SHA256: 1A57A37EB4CD23813A25C131F3C6872ED175ABB6F1525F2FE15CFF4C077D5DF7
  • Recherche dans CSIDL_Profile avec comme emplacement réel %localappdata%\Programs\Common
    • Fichier UserAccountControlSettingsDevice.dat
      • SHA1: B53B0887B5FD97E3247D7D88D4369BFC449585C5
      • SHA256: 7BB5328FB53B5CD59046580C3756F736688CD298FE8846169F3C75F3526D3DA5

Ces fichiers contiennent des informations de configuration chiffrées avec le chiffrement xor contenant les clés dans les exécutables.
Après le décryptage, Avast a trouvé des noms d’autres parties du malware, certaines URL, des clés publiques RSA, des clés de communication pour winrmsrv.exe et des commandes pour XMRig. Les clés RSA ont une longueur de 8192 et 8912 bits. Ces clés sont utilisées pour vérifier chaque fichier téléchargé par Crackonosh (via StartupCheckLibrary.dll, winrmsrv.exe, winscomrssrv.dll).
Ici, Avast a relevé la première mention de wksprtcli.dll.

StartupCheckLibrary.dll et téléchargement de wksprtcli.dll

StartupCheckLibrary.dll est le moyen par lequel l’auteur de Crackonosh peut télécharger les mises à jour du malware sur les machines infectées. Startupchecklibrary.dll interroge les enregistrements DNS TXT des domaines first[.]universalwebsolutions[.]info et second[.]universalwebsolutions[.]info (ou d’autres TLD comme getnewupdatesdownload[.]net et webpublicservices[.]org). Il existe des enregistrements TXT DNS comme ajdbficadbbfC@@FEpHw7Hn33.

À partir des douze premières lettres, il calcule l’adresse IP comme indiqué sur le visuel. Les cinq caractères suivants sont les chiffres du port chiffrés en ajoutant 16.

Cela donne un emplacement où télécharger wksprtcli.dll. Les huit derniers caractères correspondent à la version. Les données téléchargées sont validées par l’une des clés publiques stockées dans le fichier de configuration.

Déchiffrement adresse ip
Décryptage de l’adresse IP, capture d’écran de Ida

Wksprtcli.dll (exporte DllGetClassObjectMain) met à jour les anciennes versions de Crackonosh. La plus ancienne version de wksprtcli.dll détectée par Avast vérifie uniquement la non-existence de winlogui.exe. Elle supprime ensuite diskdriver.exe (anciennement coinminer) et l’entrée de registre autostart. La dernière version a un délai d’exécution. Il supprime les anciennes versions de winlogui.exe ou diskdriver.exe et dépose la nouvelle version de winlogui.exe. Crackonosh dépose alors de nouveaux fichiers de configuration et installe winrmsrv.exe et winscomrssrv.dll. Puis, il modifie la façon de lancer winlogui.exe à partir du registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour qu’il s’exécute dès la connexion de l’utilisateur.

Tâches créées par wksprtcli.dll dans le planificateur de tâches Windows
Tâches créées wksprtcli.dll sur le planificateur de tâches Windows

Finalement, Crackonosh désactive l’hibernation ainsi que Windows Defender.

Wksprtcli.dll vérifie également le temps de l’ordinateur. Une des raisons pour ne pas écraser les versions plus récentes serait que cela rendrait l’analyse dynamique plus difficile. Il a également écrit une date après laquelle il doit arrêter la tâche winlogui pour pouvoir remplacer les fichiers.

Fichier
(Temps de compilation)
Timestamp 1
(Après cela, il tue la tâche winlogui, pour pouvoir le mettre à jour)
Timestamp 2
(Après exécution)
5C8B… (2020-11-20)2019-12-012023-12-30
D9EE… (2019-11-24)2019-12-012020-12-06
194A… (2019-11-24)2019-03-09
FA87… (2019-03-22)Utilise la taille de winlogui à la place2019-11-02
C234… (2019-02-24)2019-03-092019-11-02
A2D0… (2018-12-27)
D3DD… (2018-10-13)
Marquage temporel codé en dur, les hachages complets des fichiers sont dans les IoC

Analyse de Winrmsrv.exe

Winrmsrv.exe est responsable de la connexion P2P des machines infectées. Il échange des informations sur les versions et est capable de télécharger des versions plus récentes de Crackonosh. Nous n’avons trouvé aucune preuve de l’existence de versions supérieures à 0 et Avast n’a pu déterminer quels fichiers sont transférés.

Winrmsrv.exe recherche une connexion Internet. S’il y parvient, il obtient trois ports différents de la manière suivante.
Tout d’abord, dans le fichier de configuration, un offset (49863) et une plage (33575) sont définis. Pour chaque port, on calcule SHA-256 à partir de la date (jours de l’époque Unix) et 10 B du fichier de configuration. Chaque port est ensuite défini comme le décalage additionné au premier mot de SHA modulé par la plage (offset + (2 B of SHA % range)).

Les deux premiers ports sont utilisés pour les connexions TCP entrantes. Le dernier est utilisé pour écouter une connexion UDP entrante.

Impression d'écran de IDA
Obtention des ports, capture d’écran d’IDA

Ensuite, winrmsrv.exe envoie des paquets UDP contenant la version et le timestamp à des adresses IP aléatoires sur le troisième port (environ 10 IP par seconde). Le package est prolongé avec des octets aléatoires (à une longueur aléatoire) et est chiffré avec un chiffrement de type Vigenère.

Paquet UDP
Paquet UDP

Enfin, si winrmsrv.exe trouve une adresse IP infectée par Crackonosh, il l’enregistre ainsi que la version de contrôle. Alors, winrmsrv.exe met à jour l’ancienne version. Les données de mise à jour sont signées avec la clé privée.
Au prochain démarrage, winrmsrv.exe connecte toutes les IP stockées pour vérifier la version avant d’en essayer de nouvelles. Après la communication, il bloque toutes les adresses IP pendant 4 heures, à moins qu’elles n’aient pas suivi le protocole. Dans ce cas, le blocage est permanent jusqu’au redémarrage.

Afin de vérifier ce protocole, la société Avast a modifié masscan, montrant environ 370 adresses IP infectées sur Internet (Ipv4).

AB
Envoie un UDP packet d’un port aléatoire au port 3@page { size: 21cm 29.7cm; margin: 2cm } td p { orphans: 0; widows: 0; background: transparent } p { margin-bottom: 0.25cm; line-height: 115%; background: transparent } a:link { color: #000080; so-language: zxx; text-decoration: underline }
Décrypte, vérifie le timestamp (dans les 15 dernières secondes) et vérifie si la version correspond à l’adresse IP bannie pour les 4 heures suivantes
Décrypte, vérifie la version du timestampsame : Ne fait rien
B a une version inférieure : TCP send
B a une version supérieure : TCP receive
Envoie le paquet UDP Crackonosh Hello au port de A
AB
Se connecte au port 2Cherche si la communication depuis A est attendue (Hello UDP réussi dans les 5 dernières secondes avec des versions différentes)
Envoie un package chiffréDécode, valide et sauvegarde la donnée
AB
Se connecte au port 1Cherche si la communication depuis A est attendue (Hello UDP réussi dans les 5 dernières secondes avec des versions différentes)
Décode, valide et sauvegarde la donnéeEnvoie le package chiffré
Schéma de communication
Schéma de chiffrement du paquet UDP
Schéma de chiffrement du paquet UDP
Schéma de chiffrement de TCP Packet
Schéma de chiffrement du paquet TCP

Notez la présence d’une erreur dans l’implémentation du cryptage/décryptage TCP montré ci-dessus. Au lieu de la flèche rouge, un SHA256 de plus est calculé, qui devrait être utilisé dans le xor avec le vecteur d’initialisation. Mais alors nous voyons la source du SHA utilisée à la place du résultat.

Analyse de winscomrssrv.dll

L’analyse de winscomrssrv.dll est la préparation de la phase suivante. Il utilise les enregistrements DNS TXT de la même manière que StratupCheckLibrary.dll puis, il tente de décoder les enregistrements TXT sur les URL.

  • fgh[.]roboticseldomfutures[.]info
  • anter[.]roboticseldomfutures[.]info
  • any[.]tshirtcheapbusiness[.]net
  • lef[.]loadtubevideos[.]com
  • levi[.]loadtubevideos[.]com
  • gof[.]planetgoodimages[.]info
  • dus[.]bridgetowncityphotos[.]org
  • ofl[.]bridgetowncityphotos[.]org
  • duo[.]motortestingpublic[.]com
  • asw[.]animegogofilms[.]info
  • wc[.]animegogofilms[.]info
  • enu[.]andromediacenter[.]net
  • dnn[.]duckduckanimesdownload[.]net
  • vfog[.]duckduckanimesdownload[.]net
  • sto[.]genomdevelsites[.]org
  • sc[.]stocktradingservices[.]org
  • ali[.]stocktradingservices[.]org
  • fgo[.]darestopedunno[.]com
  • dvd[.]computerpartservices[.]info
  • efco[.]computerpartservices[.]info
  • plo[.]antropoledia[.]info
  • lp[.]junglewearshirts[.]net
  • um[.]junglewearshirts[.]net
  • fri[.]rainbowobservehome[.]net
  • internal[.]videoservicesxvid[.]com
  • daci[.]videoservicesxvid[.]com
  • dow[.]moonexploringfromhome[.]info
  • net[.]todayaniversarygifts[.]info
  • sego[.]todayaniversarygifts[.]info
  • pol[.]motorcyclesonthehighway[.]com
  • any[.]andycopyprinter[.]net
  • onl[.]andycopyprinter[.]net
  • cvh[.]cheapjewelleryathome[.]info
  • df[.]dvdstoreshopper[.]org
  • efr[.]dvdstoreshopper[.]org
  • Sdf[.]expensivecarshomerepair[.]com

Il semble que ces fichiers ne soient pas encore disponibles pour le public. Toutefois, les noms des fichiers devraient être les suivants.

  • C:\WINDOWS\System32\wrsrvrcomd0.dll
  • C:\WINDOWS\System32\winupdtemp_0.dat et
  • C:\WINDOWS\System32\winuptddm0

Anti-détection et anti-forensics

Comme indiqué précédemment, Crackonosh prend des mesures spécifiques pour échapper aux logiciels et aux analyses de sécurité et les désactiver :

  • Suppression des logiciels antivirus en mode sans échec
  • Arrêt de la mise à jour de Windows
  • Remplacement de la sécurité de Windows par une simple icône dans la barre d’état système.
  • Utilisation de bibliothèques n’utilisant pas l’habituelle DllMain (utilisée lors de l’exécution de la bibliothèque en tant qu’exécutable principal (par rundll32.exe)), mais qui sont lancées avec d’autres fonctions exportées.
  • Vérification de l’exécution de serviceinstaller en mode sans échec.

Pour se protéger contre les analyses, Crackonosh effectue les actions suivantes pour tester s’il s’exécute dans une VM :

  • Vérification des clés de registre :
    • SOFTWARE\VMware, Inc
    • SOFTWARE\Microsoft\Virtual Machine\Guest\Parameters
    • SOFTWARE\Oracle\VirtualBox Guest Additions
  • Vérification si le temps de l’ordinateur est dans un intervalle raisonnable, par exemple après la création du malware et avant 2023 (wksprtcli.dll)

Aussi, comme Avast l’a noté, le malware retarde l’exécution pour mieux se cacher. Il a été constaté que les installateurs spécifiques utilisaient des dates et des heures codées en dur pour leur retard, comme indiqué ci-dessous.

SHA de l’installateurL’installateur ne s’exécute pas avant
9EC3DE9BB9462821B5D034D43A9A5DE0715FF741E0C171ADFD7697134B936FA32018-06-10 13:08:20
8C52E5CC07710BF7F8B51B075D9F25CD2ECE58FD11D2944C6AB9BF62B7FBFA052018-06-19 14:06:37
93A3B50069C463B1158A9BB3A8E3EDF9767E8F412C1140903B9FE674D81E32F02018-07-04 17:33:20
6A3C8A3CA0376E295A2A9005DFBA0EB55D37D5B7BF8FCF108F4FFF7778F475842018-07-10 15:35:57
4B01A9C1C7F0AF74AA1DA11F8BB3FC8ECC3719C2C6F4AD820B31108923AC7B712018-07-25 13:56:35
65F39206FE7B706DED5D7A2DB74E900D4FAE539421C3167233139B5B5E125B8A2018-08-03 15:50:40
C6817D6AFECDB89485887C0EE2B7AC84E4180323284E53994EF70B89C77768E12018-08-14 12:36:30
7F836B445D979870172FA108A47BA953B0C02D2076CAC22A5953EB05A683EDD42018-09-13 12:29:50
D8C092DE1BF9B355E9799105B146BAAB8C77C4449EAD2BDC4A5875769BB3FB8A2018-10-01 13:52:22
E497EE189E16CAEF7C881C1C311D994AE75695C5087D09051BE59B0F0051A6CF2018-10-19 14:15:35
D7A9BF98ACA2913699B234219FF8FDAA0F635E5DD3754B23D03D5C3441D94BFB2018-11-07 12:47:30
Timestamps
codé en dur dans les installateurs

Avast a également trouvé une version, Winrmsrv.exe (5B85CEB558BAADED794E4DB8B8279E2AC42405896B143A63F8A334E6C6BBA3FB), qui, au lieu de déchiffrer l’heure codée en dur dans le fichier de configuration, affiche 2020-02-03.

Si l’heure actuelle du système est inférieure à la valeur extraite, winrmsrv.exe ne s’exécute pas.

Crackonosh prend également des mesures spécifiques pour se cacher des éventuels utilisateurs expérimentés qui utilisent des outils pouvant révéler sa présence. Il utilise des noms et descriptions semblables à ceux de Windows, comme winlogui.exe, qui est l’application Windows Logon GUI.

Il vérifie également les processus en cours et les compare à la liste de blocage ci-dessous. S’il trouve un processus avec le nom spécifié winrmsrv.exe et winlogui.exe, il se termine et attend le prochain démarrage du PC.

Liste de blocage :

  • dumpcap.exe
  • fiddler.exe
  • frst.exe
  • frst64.exe
  • fse2.exe
  • mbar.exe
  • messageanalyzer.exe
  • netmon.exe
  • networkminer.exe
  • ollydbg.exe
  • procdump.exe
  • procdump64.exe
  • procexp.exe
  • procexp64.exe
  • procmon.exe
  • procmon64.exe
  • rawshark.exe
  • rootkitremover.exe
  • sdscan.exe
  • sdwelcome.exe
  • splunk.exe
  • splunkd.exe
  • spyhunter4.exe
  • taskmgr.exe
  • tshark.exe
  • windbg.exe
  • wireshark-gtk.exe
  • wireshark.exe
  • x32dbg.exe
  • x64dbg.exe
  • X96dbg.exe

Fichiers additionnels

En plus de ceux mentionnés précédemment, les recherches ont permis de trouver des fichiers supplémentaires :

  • Startupcheck.vbs : un script unique pour créer une tâche sur Windows Task Scheduler pour StartUpCheckLibrary.dll.
  • Winlogui.dat, wslogon ???.dat : fichiers temporaires à déplacer en tant que nouveau winlogui.exe.
  • Perfdish001.dat : liste des adresses IP infectées que winrmsrv.exe a trouvées.
  • Install.msi et Install.vbs : il s’agit dans certaines versions d’une étape entre maintenance.vbs et serviceinstaller.msi, contenant des commandes qui par ailleurs, sont dans maintenance.vbs.

En résumé, Crackonosh exploite les risques liés au téléchargement de logiciels piratés et démontre qu’il est très rentable pour les attaquants. Crackonosh circule depuis au moins juin 2018 et a rapporté à ses auteurs plus de 2 000 000 USD en Monero à partir de plus de 222 000 systèmes infectés dans le monde.

Vous êtes victime de Crackonosh ? Nous dévoilons dans la suite de cet article, la manière de supprimer Crackonosh de votre système.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest