I calcoli erano quasi perfetti.
Quel che non avevano previsto risiedeva nell'incompetenza di chi avrebbe divulgato l'argomento .... un sistema creato con genialità che prevedeva di infettare i primi dispositivi per poi lasciar agli automatismi il compito di creare quella che sotto alcuni aspetti potrebbe essere definita una 'Botnet' con i propri dispositivi 'Zombie' dai quali attingere.
Quel che non avevano previsto risiedeva nell'incompetenza di chi avrebbe divulgato l'argomento .... un sistema creato con genialità che prevedeva di infettare i primi dispositivi per poi lasciar agli automatismi il compito di creare quella che sotto alcuni aspetti potrebbe essere definita una 'Botnet' con i propri dispositivi 'Zombie' dai quali attingere.
Argomento usato per raggiungere lo scopo: 'Office 2016 gratis' ottenendolo per mezzo di procedure che vedevano il riferimento ai: 'KMS Ultimate Activator', quelle procedure che nel mese di maggio decisi di intraprendere anch'io a seguito di un intuito che manifestandosi mi ha portato su uno di questi tutorial per procedere seguendo le loro indicazioni alla lettera senza metterci niente di più.
Alla fine mi sono accorto che un passaggio in particolare veniva disatteso .... un passaggio che per noi rimaneva del tipo 'opzionale' ma che rivisitato ne dettava palesemente un profilo diverso: pericoloso e alquanto 'dubbio' da conseguire.
Era chiaro che le procedure mancavano di quella casualità che ogni programma crea e prevede quando lo si deve installare specialmente in Office dove una serie di variabili come: bit, edizione, lingue, programmi ecc. variano di gran lunga. L'attivazione, che porta a compimento la prima parte, dovrebbe presentare una serie di dinamiche che non hanno motivo di somigliarsi l'una con l'altra.
Defender intanto (configurato un pò meglio di come farebbero i soli aggiornamenti Microsoft) aveva messo in quarantena già:
- 4 SoftwareBundler:Win32/ICLoader
- 2 Trojan:Win32/Fuerboos.C!cl
Entriamo direttamente nel vivo del Video tutorial realizzato e pubblicato a riguardo, così da mettervi di fronte a queste possibilità un pò più da vicino per via che non solo solamente scritte ma dettate da quella parte di emotività che vien fuori naturalmente e cambia man mano che naturalmente mi avvicinavo sempre più alla verità.
Una certezza: scorrendo molti altri tutorial ho verificato che quel passaggio disatteso era un fattore che accomunava un pò tutte le pubblicazioni, la magia di un video quindi si limitava nello studiare la parte e nell'eseguire il 'drag and drop' della cartella compressa ottenuta da un cloud a un altro, così che tutti divenivano improvvisammente capaci.
La bramosia di giungere dinnanzi al pulsante 'Activate Office' per dimostrare quello che non solo erano capaci di dettare per l'installazione ma che permettevano di fat attivare a chiunque era talmente forte da non comprendere che comunque la Microsoft vuoi o no ravvisava quel che accadeva in casa sua con un proprio software applicativo sul proprio software di base ..... ci lasciava liberi di andare incontro a un oblio che noi stessi avevamo creato.
Fatto sta che mentre tutti quanti erano presi a osservare se un Word permettesse loro di digitare per restituire in chiaro le lettere, in to 'the blind side' un HackTool accompagnava una grave infezione così che entrambi in un colpo solo, trovavano nell'attivazione l'istanza utile per eseguirsi e calarsi nel sistema in background.
Alla fine mi sono accorto che un passaggio in particolare veniva disatteso .... un passaggio che per noi rimaneva del tipo 'opzionale' ma che rivisitato ne dettava palesemente un profilo diverso: pericoloso e alquanto 'dubbio' da conseguire.
Era chiaro che le procedure mancavano di quella casualità che ogni programma crea e prevede quando lo si deve installare specialmente in Office dove una serie di variabili come: bit, edizione, lingue, programmi ecc. variano di gran lunga. L'attivazione, che porta a compimento la prima parte, dovrebbe presentare una serie di dinamiche che non hanno motivo di somigliarsi l'una con l'altra.
Defender intanto (configurato un pò meglio di come farebbero i soli aggiornamenti Microsoft) aveva messo in quarantena già:
- 4 SoftwareBundler:Win32/ICLoader
- 2 Trojan:Win32/Fuerboos.C!cl
Entriamo direttamente nel vivo del Video tutorial realizzato e pubblicato a riguardo, così da mettervi di fronte a queste possibilità un pò più da vicino per via che non solo solamente scritte ma dettate da quella parte di emotività che vien fuori naturalmente e cambia man mano che naturalmente mi avvicinavo sempre più alla verità.
Una certezza: scorrendo molti altri tutorial ho verificato che quel passaggio disatteso era un fattore che accomunava un pò tutte le pubblicazioni, la magia di un video quindi si limitava nello studiare la parte e nell'eseguire il 'drag and drop' della cartella compressa ottenuta da un cloud a un altro, così che tutti divenivano improvvisammente capaci.
La bramosia di giungere dinnanzi al pulsante 'Activate Office' per dimostrare quello che non solo erano capaci di dettare per l'installazione ma che permettevano di fat attivare a chiunque era talmente forte da non comprendere che comunque la Microsoft vuoi o no ravvisava quel che accadeva in casa sua con un proprio software applicativo sul proprio software di base ..... ci lasciava liberi di andare incontro a un oblio che noi stessi avevamo creato.
Fatto sta che mentre tutti quanti erano presi a osservare se un Word permettesse loro di digitare per restituire in chiaro le lettere, in to 'the blind side' un HackTool accompagnava una grave infezione così che entrambi in un colpo solo, trovavano nell'attivazione l'istanza utile per eseguirsi e calarsi nel sistema in background.
All'inizio mi ero posto una domanda ..... : perchè proprio Office !?
Lla pianifcazione era finalmente comprensibile: un prodotto di tendenza su cui far leva, un punto di leva fatto talmente bene da impedire una semplice riflessione: perché rischiare quando quel che mi separa dalla legittimità di 'Office' e 1 TB di 'Cloud storage' erano solamente 20 centesimi al giorno e neanche.
L'altro punto di leva, vede la tecnica ossia la capacità di 'forgiare' la configurazione di un programma inserendovi un codice malevolo magari là dove risiede un pulsante che non possiamo fare a meno di selezionare per via che permette una funzione fondamentale ... per attivare Office magari?
Ed è proprio lì che è stato inserito .... proprio 'Activate Office' è il pulsante incriminato.
Credetemi se vi dico che i russi sono maestri di questa tecnica.
Microsoft prevede uno strumento (ODT) detto da riga di comando col quale permette la distribuzione di Office: l'installazione avviene mediante un file di configurazione sul quale vengono riportate una serie di rifghe detti 'elementi' mentre il setup (che non va minimamente toccato) procede nel conseguirle. Una volta installato Office, basta inserire il Product Key e il gioco è fatto ..... ecco, immaginate se io avessi migliaia di questi product key .... sono sicuro che non vi fareste sfuggire l'occasione di prenderne gratuitamente uno
Ecco la cartella dell'ODT nel momento stesso che la scaricate dal sito della Microsoft subito dopo averla estratta
Potete vedere: il Setup e il file 'configuration.xml'
Un click sull'immagine per ingrandirla
Avviandosi ossia aprendosi vi permete la prima schermata proprio nella sua scheda 'Main'
Quì come potete ben vedere, una volta che avete impostato: edizione, programmi da escludere, lingua, bit, modalità d'installazione se non addirittura procedere dapprima con 'Uninstall Office' qualora avete ad esempio la predisposizione di 'Office 365' premendo su 'Install Office' metterete in moto il tutto.
Un click sull'immagine per ingrandirla
Ottenuta l'edizione, un'apposita finestra vi confermerà il successo della prima fase mentre un Wizard animato vi fornirà alcuni suggerimenti.
Passando alla scheda 'Utilies' una volta testato i programmi e aver convertito la licenza da 'Retail in Volume' potrete agire sul pulsante 'Activate Office' per la relativa attivazione
Un click sull'immagine per ingrandirla
Ecco che il click sul pulsante 'Activate Office' .... prima di tutto renderà la finestra centrale celeste del C2R un terminale che elaborerà le righe di comando restituendo: edizione, versione, indirizzo IP del Server KMS Host e della porta d'ascolto, nonchè della licenza che da 'Retail' verrà convertita in 'Volume' proprio per mantenere le specifiche adatte riconosciute nell'ambiente KMS appunto.
Il rettangolo tracciato nell'immagine a seguire riporta il product key ottenuto, la password attaverso la quale mi veniva consentito l'accesso alle risorse: più che a me all'HackTool.
Un click sull'immagine per ingrandirla
L'immagine riepiloga l'attivazione che conseguii nell'occasione che stiamo trattando. Fortunatamente ho potuto riprenderla riproducendo il video che registrai nell'occasione ma mai pubblicato per via della durata .... fatto sta che ho potuto porlo in pausa e acquisire il relativo screenshot.
Dico fortuna per via che tale resta il 'dato di fatto' che avvalorava quella che alla fine era la mia tesi, ciò che azzardai per via che l'istinto mi aveva dettato questo e vado sempre dietro il mio istinto .... iniziavo a ottenere le conferme che volevo. Copiando il product key per riportarlo nella barra degli indirizzi di Chrome per poi dare l'invio, i risultati che ne vengano fuori sono circa 530, ed è quì che l'ipotesi che sostenevo trovava conferma più che mai:
1. Una strategia di fondo e una pianificazione studiata nei minimi particolari c'era e adesso era riscontrabile nelle attivazioni stesse: non erano allocate ovvero non risultavano incentrate in un luogo come ad esempio verso una nazione ma, il product key risultava sull'intera scala globale: dall'oriente all'occidente, Arabia, Europa, Russia ecc.
2. La parte mancante della divulgazione c'era, era palese e si vedeva nei numeri stessi: un product key sparso con attivazioni in quà e là ma alla fine i numeri erano solamente 530 ....
Provate a selezionare il product key a seguire dopo di che eseguitevi sopra un click destro > Cerca 996NF- .... con Google (Product key: 996NF-CXK4K-HBH97-T26T8-33W3X).
Verificherete che la divulgazione, le attivazioni sono ovunque ma le distribuzioni secondarie sono state sterili ....
Il contenuto l'abbiamo compreso, le dinamiche anche, inoltriamoci verso la fine osservando la clip a seguire che in soli 49 secondi vi permette un riepilogo così che diverrà più semplice costruire un finale da percorrere insieme.
Non ci resta altro che comprendere cosa realmente ha funzionato, qual'è la parte della divulgazione che è stata disattesa e che ha decretato il fallimento. Rivedrete quei dettagli che mentre chiunque altro vi si sarebbe molto probabilmente fermato di fronte, personalmente mi convincevano sempre più del fatto che dietro c'era qualcosa di 'diverso' dalla solita infezione da Crack: 'BundlerICloader' infatti .....
Dico fortuna per via che tale resta il 'dato di fatto' che avvalorava quella che alla fine era la mia tesi, ciò che azzardai per via che l'istinto mi aveva dettato questo e vado sempre dietro il mio istinto .... iniziavo a ottenere le conferme che volevo. Copiando il product key per riportarlo nella barra degli indirizzi di Chrome per poi dare l'invio, i risultati che ne vengano fuori sono circa 530, ed è quì che l'ipotesi che sostenevo trovava conferma più che mai:
1. Una strategia di fondo e una pianificazione studiata nei minimi particolari c'era e adesso era riscontrabile nelle attivazioni stesse: non erano allocate ovvero non risultavano incentrate in un luogo come ad esempio verso una nazione ma, il product key risultava sull'intera scala globale: dall'oriente all'occidente, Arabia, Europa, Russia ecc.
2. La parte mancante della divulgazione c'era, era palese e si vedeva nei numeri stessi: un product key sparso con attivazioni in quà e là ma alla fine i numeri erano solamente 530 ....
Provate a selezionare il product key a seguire dopo di che eseguitevi sopra un click destro > Cerca 996NF- .... con Google (Product key: 996NF-CXK4K-HBH97-T26T8-33W3X).
Verificherete che la divulgazione, le attivazioni sono ovunque ma le distribuzioni secondarie sono state sterili ....
Il contenuto l'abbiamo compreso, le dinamiche anche, inoltriamoci verso la fine osservando la clip a seguire che in soli 49 secondi vi permette un riepilogo così che diverrà più semplice costruire un finale da percorrere insieme.
Non ci resta altro che comprendere cosa realmente ha funzionato, qual'è la parte della divulgazione che è stata disattesa e che ha decretato il fallimento. Rivedrete quei dettagli che mentre chiunque altro vi si sarebbe molto probabilmente fermato di fronte, personalmente mi convincevano sempre più del fatto che dietro c'era qualcosa di 'diverso' dalla solita infezione da Crack: 'BundlerICloader' infatti .....
Emulatori KMS e Office
Il pericolo che corriamo e quello scongiurato solo per fortuna
Il tutorial che decisi di seguire, riportava in descrizione un collegamento verso il quale ero sicuro che si nascondeva qualcosa di poco chiaro ... non immaginavo mai però le quantità ....
- 4 SoftwareBundler:Win32/ICLoader
- 2 Trojan:Win32/Fuerboos.A!cl
Un bell'avvertimento su quel che era possibile trovarvi dietro infatti senza rivolgermi a 'Virus Total' proseguivo pensando: 4 bundler e 2 trojan/Fuerboos magari è il tutto .....
L'attivazione, quella non l'avevo messa in conto, fatto sta che oltre che determinare la procedura con la quale dar vita alla suite della Microsoft diveniva l'istanza utile per far piovere in Background l'attivatore: HackTool:Win32/AutoKMS (il peggiore e il più martellante degli attivatori) addirittura un Trojan:Win32/Skeeyah.A!rfn …. una 'Backdoor'
Cosa dovevano far passare di così tanto importante .... magari quella parte silente, quell'attesa di richiamo da remoto se fatta tutta insieme verso tutti i dispositivi infetti ...... tanti attacchi, i peggiori sono avvenuti così, vedi il Mirai del 2016!
Siamo di fronte a uno Trojan/Skeeyah ..... e una serie di fattori che hanno giocato a 'favore/sfavore' Perchè una backdoor e non un attacco che prevedeva un'utile immediato?
Perchè deporre in dispositivi sparsi in tutto il mondo questi elementi silenti capaci di attendere un richiamo da remoto finchè avrà vita il dispositivo o colui che ha propagato l'infezione?
Tante domande, tanti riscontro ma .... nessuna certezza e questo è quello che brucia di più.
L'unica certezza resta in quel che è stato disatteso .... quel che offriva la scheda: 'Download Office' riportata nell'immagine a seguire
- 2 Trojan:Win32/Fuerboos.A!cl
Un bell'avvertimento su quel che era possibile trovarvi dietro infatti senza rivolgermi a 'Virus Total' proseguivo pensando: 4 bundler e 2 trojan/Fuerboos magari è il tutto .....
L'attivazione, quella non l'avevo messa in conto, fatto sta che oltre che determinare la procedura con la quale dar vita alla suite della Microsoft diveniva l'istanza utile per far piovere in Background l'attivatore: HackTool:Win32/AutoKMS (il peggiore e il più martellante degli attivatori) addirittura un Trojan:Win32/Skeeyah.A!rfn …. una 'Backdoor'
Cosa dovevano far passare di così tanto importante .... magari quella parte silente, quell'attesa di richiamo da remoto se fatta tutta insieme verso tutti i dispositivi infetti ...... tanti attacchi, i peggiori sono avvenuti così, vedi il Mirai del 2016!
Siamo di fronte a uno Trojan/Skeeyah ..... e una serie di fattori che hanno giocato a 'favore/sfavore' Perchè una backdoor e non un attacco che prevedeva un'utile immediato?
Perchè deporre in dispositivi sparsi in tutto il mondo questi elementi silenti capaci di attendere un richiamo da remoto finchè avrà vita il dispositivo o colui che ha propagato l'infezione?
Tante domande, tanti riscontro ma .... nessuna certezza e questo è quello che brucia di più.
L'unica certezza resta in quel che è stato disatteso .... quel che offriva la scheda: 'Download Office' riportata nell'immagine a seguire
Un click sull'immagine per ingrandirla
Avrebbe permesso di creare una cartella di 'Backup dati' per mezzo del pulsante 'Download' dopo di che il pulsante stesso disattivandosi avrebbe lasciato campo a quello sottostante 'Create ISO' così che il seguente download avrebbe prodotto i soliti dati riportandoli in una ISO, pronta per essere difffusa anche mediante Cloud e link di condivisione a chiunque avesse voluto installare Office 2016.
Questa sarebbe stata la grande distribuzione o almeno quella condivisione che avrebbe alzato i numeri della pagina del product key e apportato benefici a chi magari era veramente dietro al tutto.
Ecco entrambi le cartelle create e rese nella cartella Office creata apositamente.
Un click sull'immagine per ingrandirla
Entrambi contenenti i file 'Data' quelli 'Office' un 'Autorun' e nuovamente il 'Setup' privo di infezioni escluso quella solamente quella relativa allo Skeeyah che da quel che ho potuto constatare non riflette sull'integrità della ISO infatti, pur scansionandola non restituisce alcu codice malevolo.
Questo era il lavoro finale che qualcuno magari non si è visto realizzare per l'incapacità di chi ha divulgato un sistema a metà!
La soluzione allo stato dei fatti
I dati raccolti sono veramente molti più che altro anche in percentuale di quelle che sono le strumentazioni che ho a disposizione, fatto sta che il pericolo che corriamo è alto: computer utilizzati per approfittare della loro potenza al fine di convogliarla tutta in un unico 'Super-computer' regolarmente ne escono se non da gettar via ... quasi.
In virtù di tutto questo mi son messo sotto per dare un lieto fine e una sicurezza a chi ha divulgato e installato, a chi ha solamente installato come a chi vorrebbe Office e farebbe bene a non procedere andando dietro un qualsiasi video tutorial .... i 4 Bundler e i 2 Fuerboos non dipendono dal programma ma dal collegamento pertanto pericoli su pericoli.
Ho quasi finito una pubblicazione che prende un nome semplice elementare e efficace come voglio che sia: 'Office 2016: da me lo scrivo, lo installo e solo io me lo attivo' proprio perchè questa possibilità c'è. Nessun programma ma solamente un piccolo strumento direttamente dal sito della Microsoft.
Dopo di che per mezzo di documenti di testo creeremo il giusti dile di configurazione, ne creeremo un altro con il blocco note dopo di che riunendoli in un'unica cartella avvieremo lo strumento che seguirà quel che avete scritto sui documenti di testo .... solo voi potrete creare danni, nessun altro.
Ecco che per raggiungere un lavoro ottimale, bisogna agire su un terreno iper-pulito, risanato perfettamente così da dar nuova vita al computer che sicuramente solo attraverso la navigazione in rete di virus ne avrà presi in gran quantità ..... in questi giorni sto facendo scansionare i computer di amici che sono sempre sicuri di aver tutto a posto ma che alla fine non lo sono.
Staneremo la backdoor con un trucchetto qualora avete installato Office con i KMS Ultimte aktrimenti comunque sia il guadagno di un sistema perfettamente sano è pur sempre un ottimo risultato.
Preparatevi per via che sarà una pubblicazione interessante .... immaginatei di fronte al PC di un amico, vedere che scrivete dei docuenti di testo con un linguaggio che magari non capirà e da quei documenti di testo dar vita a Office ..... quando uno sa e promuove programmi corretti e correttamente diventa un bene farne beneficiare anche altri!
Vi saputo quì, avete tempo e modo di riflettere e, qualora avete installato Office passando da questi cìvicoli fatemi sapepre almeno per tamponare sino a che non promuoveremo la procedura .......
Statemi bene e buona navigazione.
Saluti massimo2543
Nessun commento:
Posta un commento