HackTool.AutoKMS

 

Généralités sur AutoKMS:

AutoKMS est un outil d’activation Key Management Service (KMS).
– Basé sur la stratégie d’activation de licence en volume, AutoKMS est un utilitaire de cracking des produits Microsoft.
– Curieusement il est souvent utilisé pour pirater Microsoft Office alors même qu’il existe une suite Open-Office gratuite.
– Recensé le 24/11/2010.

Caractéristiques AutoKMS :

– Il appartient à une famille de trojans avec des fonctionnalité d’hijacker.
– Un Cheval de Troie est un programme indésirable qui s’installe à l’insu de l’utilisateur.
– Développé par la société Unknown.

Actions principales AutoKMS :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il démarre une tâche planifiée en automatique (O39),
– Il installe des pilotes qui démarrent automatiquement avec le système(O44)
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il crée une connexion entrante active dans les exceptions d’application du parefeu Windows (O87),

Aperçu ZHPDiag pour AutoKMS:

—\ Processus lancés
– (.. – AutoKMS.) — C:WINDOWSAutoKMS.exe
– (…) — C:WINDOWSKMService.exe

—\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: (KMService) . (…) – C:WINDOWSsystem32srvany.exe

—\ Tâches planifiées en automatique (O39)
O39 – APT:Automatic Planified Task – C:WINDOWSTasksAutoKMS.job
O39 – APT:Automatic Planified Task – F:WindowsTasksAutoKMSDaily.job
(…) — C:WindowsAutoKMSAutoKMS.exe
(…) — C:WindowsAutoKMSAutoKMS.exe

—\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC: – 08/11/2010 – 20:34:34 —A- . (…) — C:WINDOWSAutoKMS.ini
O44 – LFC: – 08/11/2010 – 20:32:28 —A- . (.. – AutoKMS.) — C:WINDOWSAutoKMS.exe
O44 – LFC: – 27/05/2013 – 21:57:01 —A- . (…) — C:WindowsKMSEmulator.exe

—\ Liste des services Legacy (LALS) (O64)
O64 – Services: CurCS – C:WINDOWSsystem32srvany.exe – KMService (KMService) .(…) – LEGACY_KMSERVICE

—\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: “TCP Query User{E3244365-7AC4-42B5-B1E3-7CF124A36877}C:windowskmsemulator.exe” | In – Public – P6 – TRUE | .(…) — C:windowskmsemulator.exe
O87 – FAEL: “UDP Query User{0DABD561-7555-4CB0-9A97-3E61FB221174}C:windowskmsemulator.exe” | In – Public – P17 – TRUE | .(…) — C:windowskmsemulator.exe

—\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 06/10/2010 8192 | C:WINDOWSsystem32srvany.exe (KMService) . (…) – C:WINDOWSsystem32srvany.exe

—\ Scan Additionnel (O88 )

C:WindowsKMSEmulator.exe

Liens AutoKMS:

KMS (Key Management Service) – Déploiement & Configuration

Alias AutoKMS :

RiskWare.Tool.CK
HKTL_KEYGEN
Hijacker.Office
TR/Dropper.Gen
a variant of Win32/HackKMS.B
Trojan.Click2

Supprimer (Remove) AutoKMS :

– Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans les rapports ZHPDiag & NCDiag
Nettoyer avec ZHPCleaner

Retour haut de page