Généralités sur AutoKMS:

AutoKMS est un outil d’activation Key Management Service (KMS).
– Basé sur la stratégie d’activation de licence en volume, AutoKMS est un utilitaire de cracking des produits Microsoft.
– Curieusement il est souvent utilisé pour pirater Microsoft Office alors même qu’il existe une suite Open-Office gratuite.
– Recensé le 24/11/2010.

Caractéristiques AutoKMS :

– Il appartient à une famille de trojans avec des fonctionnalité d’hijacker.
– Un Cheval de Troie est un programme indésirable qui s’installe à l’insu de l’utilisateur.
– Développé par la société Unknown.

Actions principales AutoKMS :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il démarre une tâche planifiée en automatique (O39),
– Il installe des pilotes qui démarrent automatiquement avec le système(O44)
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il crée une connexion entrante active dans les exceptions d’application du parefeu Windows (O87),

Aperçu ZHPDiag pour AutoKMS:

—\\ Processus lancés
[MD5.0ED398A4D031B9CFB10E3FEDF97AD836] – (.. – AutoKMS.) — C:\WINDOWS\AutoKMS.exe [614400]
[MD5.BCA43E19E7013331D99FF788EA6B42A0] – (…) — C:\WINDOWS\KMService.exe [151552]

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: (KMService) . (…) – C:\WINDOWS\system32\srvany.exe

—\\ Tâches planifiées en automatique (O39)
O39 – APT:Automatic Planified Task – C:\WINDOWS\Tasks\AutoKMS.job
O39 – APT:Automatic Planified Task – F:\Windows\Tasks\AutoKMSDaily.job
[MD5.CCA616647DB9370C88998AE25DA6997F] [APT] [AutoKMS] (…) — C:\Windows\AutoKMS\AutoKMS.exe
[MD5.CCA616647DB9370C88998AE25DA6997F] [APT] [AutoKMSDaily] (…) — C:\Windows\AutoKMS\AutoKMS.exe

—\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC:[MD5.48A77273E8C545DCB70EEE3866CD2123] – 08/11/2010 – 20:34:34 —A- . (…) — C:\WINDOWS\AutoKMS.ini [135]
O44 – LFC:[MD5.0ED398A4D031B9CFB10E3FEDF97AD836] – 08/11/2010 – 20:32:28 —A- . (.. – AutoKMS.) — C:\WINDOWS\AutoKMS.exe [614400]
O44 – LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] – 27/05/2013 – 21:57:01 —A- . (…) — C:\Windows\KMSEmulator.exe

—\\ Liste des services Legacy (LALS) (O64)
O64 – Services: CurCS – C:\WINDOWS\system32\srvany.exe – KMService (KMService) .(…) – LEGACY_KMSERVICE

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « TCP Query User{E3244365-7AC4-42B5-B1E3-7CF124A36877}C:\windows\kmsemulator.exe » | In – Public – P6 – TRUE | .(…) — C:\windows\kmsemulator.exe
O87 – FAEL: « UDP Query User{0DABD561-7555-4CB0-9A97-3E61FB221174}C:\windows\kmsemulator.exe » | In – Public – P17 – TRUE | .(…) — C:\windows\kmsemulator.exe

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 06/10/2010 8192 | C:\WINDOWS\system32\srvany.exe (KMService) . (…) – C:\WINDOWS\system32\srvany.exe

—\\ Scan Additionnel (O88 )
[HKLM\SYSTEM\CurrentControlSet\Services\KMService]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE]
C:\Windows\KMSEmulator.exe

Liens AutoKMS:

KMS (Key Management Service) – Déploiement & Configuration

Alias AutoKMS :

RiskWare.Tool.CK [MBAM]
HKTL_KEYGEN [TrendMicro)
HackTool:Win32/Keygen [Microsoft]
Hijacker.Office
TR/Dropper.Gen [Avira AntiVir]
a variant of Win32/HackKMS.B [ESET Nod32]
Trojan.Click2 [DrWeb AntiVirus]

Supprimer (Remove) AutoKMS :

– Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans les rapports ZHPDiag & NCDiag
Nettoyer avec ZHPCleaner