themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Kräkkerite sulased – keygen´id ja crack´id

14. september 2009 kirjutas Priit Aasmäe Vasta »

1.piltHillar Põldmaa viitab oma  artiklis CERT Eesti infoturbeeksperdi Anto Veldre humoorikatele näpunäidetele,  kuidas nii mõnigi masohhistlike kalduvustega arvutikasutaja võiks kindla peale sattuda küberkurjategijate ohvriks. Lugesin minagi seda lugu ja korjasin sealt välja põneva lõigu, et asja edasi arendada. Väljavõte artiklist :

„ Kasuta huvitava tarkvara hankimiseks erinevaid P2P keskkondi (e-Mule, LimeWire). Tänapäeval on kuni 30% sealsetest failidest saastunud ning uusim moesuund on pangaviirusega nakatunud key-generator (tead ju küll, see progejupp, mis Sulle litsentsivõtme arvutab). Looduses valitseb tasakaal, arvutiprogrammi pealt kokku hoitud raha kasseerib viirus sinu pangakontolt.”

Kuna Hillar ja Anto asjatundjatena väidavad, et ühtegi hoiatust ei kirjutata niisama (teadaolevalt niisama ei lenda vares ka!), aga mõni nendest veel targem ja veelgi ilusam arvutikasutaja väidab vastulausena, et tegemist on vaid järjekordse hirmutamiskampaaniaga, siis otsustasin kaks osapoolt sõltumatu vahekohtunikuna duellile panna, et tõestada, kummal siis ikkagi õigus on.

Kõigepealt seadsin endale reeglid, mille järgi katse korraldada:

  • Püüdsin olla võimalikult objektiivne ning ei kasutanud ühtegi õelvara, mis mul endal varumälupulgal katsetamiste jaoks tagavaraks on.
  • Kuna jutt on key-generatoritest, siis tirisin ainult selliseid faile, mille nimes eksisteeris sõna keygen ja  keymaker.  Lisaks tõmbasin veel crack ja patch viitega faile, kuna taolised paigad muudavad originaalfaili andmeid, mis võivad selle muuta ettearvamatuks.
  • Tirisin täpselt 100 faili, neist umbes pooled koos originaal-paigaldusfailiga, teise poole ainult võtmegenereerijatega. Viimase puhul arvestasin asjaolu, et kui kasutajal on juba mõne sobiva programmi  prooviversioon arvutis, siis mugavuse mõttes ei hakka ta seda maha installima vaid otsib sellele pigem ainult võtit, et see täisversioonides avada.
  • Lisaks e-Mule ja LimeWire´le tirisin faile veel läbi BitTorrenti ning ka failijagamislehtede abil nagu  Rapidshare, Hotfile, Letitbit, Easy Share ja Depositfiles.
  • Faile valisin täiesti juhuslikult, suuremat tähelepanu pöörasin vaid turvaprogrammidele, mängudele ja multimeediafailidele.
  • Pakutavatest failidest valisin nii vanemaid versioone kui ka täiesti uusi versioone, millest viimastele on eeldatavalt meisterdatud  ka täiesti uued võtmegeneraatorid.
  • Sulgesin kõigi tõrjeprogrammide reaalajakaitsed, et ühtegi pahavaralist faili juhuslikult juba eos ei surmataks, vaid et need ikka ilusti arvutisse jõuaks.

2.katsetamise kaust.

Kurivara otsimine Symantec viirusetõrje abil

Kui 100 faili oli eraldi katsetamise kausta kogutud, siis kõigepealt skänneerisin selle läbi Symantec viirusetõrjega.  Pettumus oli suur, kuna ise arvasin, et avastatakse suurem hulk õelvara.  Antud hetke kohta statistikat tehes võisin täiesti kindlat väita, et nii Hillar kui Anto hakkavad varsti endale tuhka pähe raputama, sest õigus paistis olevat kõigil neil, kes süüdistasid spetsialiste asjatu paanika tekitamises. Sest ainult  10 viirusesse nakatatud faili 100-st on ju imeväike piisk kübermerre.

3.esimene puhastus symantec

Nüüd tõenäoliselt oleks iga tavakasutaja rõõmuga käsi kokku löönud ja teisi nn.pahavarast puhtaid faile riburada avama hakanud, ent mina kogenud kasutajana arvestasin veel kahe asjaoluga:

  1. Paljud viirused on loodud tõrjeprogrammide eest märkamatuks jääma. Kräkkerid arvestavad asjaoluga, et tavaliselt muretsetakse arvuti kaitseks vaid viirusetõrje ja sellega peetakse kogu turvalisust piisavaks. Ent just kõige ohtlikumad viirused ongi alati kirjutatud nii, et need suudaks end enimtuntud viirusetõrjeprogrammide eest varjata – viiruste kohese avastamise korral ei jõuaks ju raha kasutaja pangakontolt välja võtta.
  2. Ma ei usalda kunagi ainult ühe tõrjeskänneri vastuseid, vaid alati kammin failid läbi mitme tõrjeprogrammiga. Lisaks viirusetõrje programmile kasutan ka viirustevastaseid utiliite ja kindlasti ka erinevaid nuhkvara avastamise programme, mis leiavad lisaks tavalisele pahavarale ka viiruseid ja troojaid. Häkkerid on paraku paljud nuhkvaratõrjeprogrammid viiruste peitmise osas kahe silma vahele just jätnud sel põhjusel, et paljudel kasutajatel neid arvutis pole. Võidakse küll kasutada komplekstõrjeprogramme (Security Suite), kus on kõik vajalik olemas – nuhkvaratõrje, tulemüür, viirusetõrje – ent sellest ainsast superlahendusest pole kasu, kui pahalane on programmeeritud ennast just nimelt selle tõrjeprogrammi eest peitma. Sellepärast ma olengi varem artiklites kirjutanud, et ise ma  kõik-ühes -turvalahendusi ei poolda – kui läheb trumm, siis lähevad ka pulgad ja nakatunud on mu arvuti ikkagi. Kui aga nakatub viirusetõrje „trummina“, siis „pulkadena“ eraldi nuhkvaratõrje  ja tulemüür  jäävad edasi mu arvutit kaitsma.

Kurivara otsimine a-squared Free abil

Pärast viirusetõrjet on alati minu teiseks valikuks pahavara otsimisel  a-squared Free.  Meeldib just see, et programm ei ole tolerantne mitte ühegi pahavara suhtes, olgu selleks kasvõi kasutaja enda soovide kohaselt tiritud pahavaraliste komponentidega rakendus, milleks võivad olla kasvõi eelnimetatud e-Mule või LimeWire. Muide, kes veel ei tea, siis LimeWire on ise oma olemuselt  keylogger ehk klahvivajutuste salvestaja.

Ja nagu pildilt näha, a-squared hoiatab juba ette, ehkki veel otseselt ei nimeta pahavaraks, kõiki leitud keygeneid, nimetades need terminiga Riskware. Nende eest ta hoiatab selle tõttu, et olgugi seni pole neist leitud veel ühtegi kuritahtliku koodi, siis varem või hiljem need leitakse kindlasti, nii nagu alati on leitud.

4.teine puhastus a-sguared5.teine puhastus a-s-guared

Kahe puhastamise tulemusel oli 100 failist alles jäänud  23 faili, mida peeti kurivarast puhasteks. Seejärel skänneerisin katsetamise kausta läbi nelja tuntud programmiga – Spybot- Search&Destroy, Superantispyware, Malwarebytes Anti-Malware ning Iobit Security 360-ga. Kõik need programmid kinnitasid, et ohtu pole. Seega jäi vaid arvata, et a-squared free tegi kurivara kustutamisel tänuväärse töö ja edasine pahavara otsimine oleks mõttetu. Kuid minusugune sügavustesse süveneja ei jätnud jonni ja lasi uued tõrjeprogrammid käiku.

Kurivara otsimine Sunbelt Counterspy abil

Järgmisena skänneerisin kausta Sunbelt CounterSpy uue versiooniga V3, mida lubatakse täismahus tasuta katsetada 15 päeva. Ja oh imet, viimaks tuligi välja tervelt kolm nakatunud keyloggerit, mida peamiselt kasutatakse just panganduses pangaparoolide varastamiseks. Lisaks leiti veel ka tagauks (Backdoor), mille kaudu leiavad häkkerid tee arvutisse.

6.kolmas puhastus counterspy

Kurivara otsimine KVRT abil

Ent ka sellest jäi mulle veel vähe, proovisin kurjameid leida veel  Kaspersky Virus Removal Tool abil, millest veidi pikemalt olen kirjutanud siin. Ka see leidis veel kaks troojat, mis olid suutnud end osavalt peita teiste tõrjeskännerite eest või siis polnud veel signatuure nende viirusevastastes andmebaasides.

7. neljas puhastus kaspersky

Kurivara otsimine System Protector abil

Ning ka Systweak Advanced System Protector Personal Edition leidis veel kaks nakatunud faili, üks neist oli Trojan-Downloader, mille abil saavad häkkerid arvutisse laadida misiganes pahavaralisi failijuppe.

8.viies puhastus advanced system protector

Tulemused ja analüüs

Nüüdseks oli 100-st failist alles jäänud kõigest 15, mida loeti puhtateks. Olgugi et oleksin võinud edasi katsetada mitme teise tõrjeskänneriga, otsustasin siiski failid avada ja vaadata, mis neis peitub. Viimasest 15-st failist 3 olid mõttetud failid, kuna ühes oli cracki asemel ainult paigaldusfail ja kahes mittemidagiütlev tekstifail.  Järele jäänud 12 failist kaks olid salasõnaga kaitstud, seega ma ei pääsenudki neile ligi. Viimases 10 failis aga oli ilusti võtmegeneraator olemas ja lahti klikates ka töötas, kusjuures ükski tõrjeprogramm ei hakanud lärmi lööma. Mis aga silma jäi – kümnest failist 5 olid programmide viimased versioonid koos (tõenäoliselt) täiesti uute keygenitega. Sellest võib järeldada, et ehk ei olnud nendest veel pahalasi avastatud ja tõrjesignatuure kirjutatud.

Mis tõestab veelkord, et viiruste ja nuhkvara avastamiseks tuleb kasutada erinevaid tõrjeprogramme. Nii nagu erinevad nuhkvaratõrjed leiavad erinevat pahavara, nii ka viirusetõrjete andmebaasid ei pruugi teistega viirusetõrjete signatuuridega klappida. Mõelge ise, mis oleks saanud siis, kui ma oleksin uskuma jäänud ainult Symantec viirusetõrje poolt raporteeritut ja teised katsefailid hoolimatult avanud.

Kokkuvõtteks :   duelli seis jäi seekord 1: 0 Hillari ja Anto kasuks. Kes aga arvasid, et nendepoolne hoiatus oli vaid hirmutamiskampaania, siis palun, prisked troojad võtmegeneraatorites ootavad neid pikkisilmi. Või veel parem – katsetagu ise järgi, et oma silmaga tulemustes veenduda. Ent loodetavasti on neil siis olemas ka taganemistee. Kuna näiteks mina avasin julgelt viimased keygen´id ja ei saa nüüd sugugi kindel olla, et arvuti pole nakatunud mingisse uude viirusesse, millele pole veel vastumürki loodud, siis taastan igaks-juhuks partitsiooni varasemasse seisu.

Infot mõne kurjema leitud viiruste kohta:

NB! Pean vajalikuks märkida, et ehkki ma ei saa anda pead selle eest, et KÕIK minu arvutis leiduvad programmid ja failid järgivad 100%-liselt kõiki autoriõigusi (litsentsitingimustes orienteerumine tahab teinekord märksa kõrgemat juriidilist kvalifikatsiooni kui minul), on minu arvutis jooksev tarkvara siiski legaalne – kas ostetud või tasuta kasutada antud. Praeguse eksperimendi tarbeks tõmbasin alla ja pakkisin lahti ainult keygeneratorid, mitte nende poolt kräkitavad originaalprogrammid. Kui kräkkerid leiavad, et olen nende autoriõigusi kuidagi rikkunud ning suudavad oma autorlust tõendada, olen avatud läbirääkimisteks kahjude hüvitamise asjus 😉

Reklaam

10 kommentaari

  1. AV köögipool ütleb:

    Antud eksperimendi juures tasub üks tõik ära märkimist – nimelt on AV tööstuse kirjutamata reegel see, et keygenid loetakse automaatselt riskwareks ja AV tarkvara kasutaja saab alati skännides hoiatuse, hoolimata sellest, kas ta reaalset on pahavara või mitte. Selle taga on tarkvaratootjate ja AV firmade omavaheline kokkulepe, mida nad aga eriti ei tunnista avalikult 🙂

    Üks väike näide ühest reaalsest keygenist.

    http://www.virustotal.com/analisis/0245ae922cfcdd0072e71dc3e85787317470f753bca3f7760e133855ad8134df-1252692515

  2. Kaupo ütleb:

    Härrased lähenevad siin asjale valest küljest 😉 Tuleks ikka õpetada, kuidas saaks turvaliselt keygene kasutada. Oleks väär arvata, et inimesed nüüd paari artikli peale neist loobuvad, eriti praeguses raskes majandusolukorras. Pealegi kõlavad sellised artiklid tavakasutajale kui Gorba ajastul partei tellitud viinavastased artiklid joodikule. Ma saan aru, et mu soovitus ilmselt mõnele, eriti BSA-le ei meeldi, kuid loodetavasti polnud ka CERT artikkel BSA tellimustöö.

    Minul on juba aastaid edukalt töödanud alljärgnev variant – on virtuaalmasin, mida regulaarselt taastan, seal lasen keygeni käima, kirjutan genereeritud koodi üles, kopeerin teises virtuaalmasinas või teises arvutis tarkvara registreerimisaknasse ja peale keygeni käivitamist taastan uuesti virtuaalmasina puhtast failist. Kui ka keygen oli nakatatud viirusega, siis sai too elada vaid mõne minuti ja tapeti.

  3. Tom ütleb:

    Jaksu Arvutikaitse saidile. Hea koht, palju lugeda siin enda harimiseks ja enne uue OS’i paigaldust tekib ikka kõrgendatud huvi selliste teemade vastu:).
    Kuna tõesti aegajalt tiritakse proovi mõttes jama arvutisse ja keygen ihaldatav siis nõustun Kaupo postitusega, et võiks olla artikleid selle kohta kuda kahtlaseid exe faile jms turvaliselt avada ja nendega tegeleda.
    Küssa Kaupole, Arvutikaitsele v ükskõik kellele kes vastata viitsib. Kas virtuaalmasin on tõesti nii turvaline, et ka ohtlikumad kurjamid sealt välja ei pääse, on tal mingi nö turvapuhver? Kas selline asi toimiks, et netist midagi sikutad ja allalaetava asukoht oleks kuskil virtuaalmasina kaustas ilma, et hetkel virtuaalmasin töös oleks ja pärast saaks virtuaalmasinas käivitada… mõte selles, et kontrollimata failid oma elu vahepeal ei hakkaks elama? Peab kahtlased asjad virtuaalmasinast kustut enne selle sulgemist, et näit klahvinuhid ei väljuks? Ma pole kursis virtuaalmasina tagamaadega, niiet jälle imelik küssa siitpoolt.
    Kas on olemas ka mingeid nö turvapuhvri programme eraldi kus saab oletatavasti kahtlasi faile hoida… viirusetõrjel on ju garantiini võimalus? Keygen ka mingi progega loodud, saab teda avada ilma sellele tavapärasel viisil klikkamata? Siin saidil peaks adekvaatse vastuse saama, selleks ei postitandki kuhugi foorumisse. Olge tugevad!

  4. Priit Aasmäe ütleb:

    Ühest taolisest programmist olen juba kirjutanud paar aastat tagasi – http://www.arvutikaitse.ee/?p=295 . (Vabandan, et artiklis paar linki ei tööta korralikult, püüan need millalgi ära parandada). Kasutasin seda programmi ja jäin rahule. Nüüdseks kasutan juba teist samalaadset programmi, mis minu arvates on mugavam ja parem. Kui kaasautoritest keegi ette ei jõua, siis kirjutan sellest ülejärgmises artiklis. Siis ka pikemalt, miks süsteemi isoleerivad programmid head on.
    PS. Küsimus pole üldsegi imelik, kõigi asjadega ei saagi end alati kursis hoida. Küsida võib alati!

  5. esc ütleb:

    Anna mulle need 100 faili ma lasen ESET-i Nodiga üle skännida vaatab mis saab, lihtsalt profesionaalsest huvist 🙂

  6. Evelin ütleb:

    See a-squared free leidis nii palju valesid asju, pärast pahavara kustutamist ei töötanud mul üks programm.Tõmbasin uuesti peale, siis töötas. 🙂

  7. ?? ütleb:

    Aga näiteks mängude crackid. On need ikka mõeldud selleks et saaks tastua mängida või pigem selleks, et ei peaks sisestama CD/DVD koguaeg ja need polegi kahjulikud? Või mis teie arvate?

  8. Urmas ütleb:

    Mingi pool aastat tagasi kasutasin ise veel ka VirusTotalit jt veebipõhiseid skännereid. Kuid lõputööd luues sai läbi vaadatud mitmed viiruste loomisega seotud bloge ja veebisaite, milles enamuses oli ühe olulise tip-ina just kasutada VirusTotalit vm, et garanteerida viiruse levikut ja eluspüsimist.

    Keda huvitab : http://www.virustotal.com/ , soovitan alla laadida ka uploaderi, mis ehk pisut kiirendab kahtlaste failide kontrolli.

  9. Mikk ütleb:

    Crack failid ja path failid pole mingid kahtlased failid. Ma tõmbasin ka mingeid cracke. Ja alles siis kustutasin originaal faili ära (faili tüüp EXE) ,ning asendasin crack faili (EXE fail). Programm pidi plaadiga tööle minema. Aga crackiga saab plaadita. Programmi nimi on GTA San Andreas. Youtube-i kirjutage how to crack games.

  10. Priit Aasmäe ütleb:

    Mikk,
    peab tunnistama, et oled julge poiss ja teed ka julgeid avaldusi. 🙂

    “Kräkkimisest YouTube moodi “olen minagi loo kirjutanud – http://arvutiturve.wordpress.com/2010/03/01/krakkimisest-youtube-moodi/ – kuid veidi teises valguses. Loe ja mõtiskle.

    Ja sinu seekordse õnnestumise kohta võiks veel lisada, et tõenäoliselt ei skanneerinud sa kräkke korralikult läbi või usaldasid ainult üht tõrjeprogrammi, mite mitut. Või seekord sul lihtsalt tõesti vedas ja sattusid kräkkerist altruisti poolt loodud faili peale, milles ei olnudki pahavara sees.Tegelikult ma polegi kunagi väitnud, et on olemas ainult kurivarasse nakatatud kräkid, ehkki see võib mingil määral tõsi olla, kuna pahavara luuakse alati enne ja teeb oma tublit tööd kasutaja arvutis seni, kuni see viimaks avastatakse, näiteks kuu või kahe või aasta pärast. Ent tasub meelde jätta, ka arvutisse tiritavad kõige tavalisemad pildid ja videod võivad mõnikord olla nakatatud pahavaraga rääkimata siis veel kräkkerite endi poolt meisterdatud kräkkimisvahenditest.

Lisa kommentaar