Un malware caché dans des jeux piratés désactive les antivirus et mine de la cryptomonnaie

Fanny Dufour
28 juin 2021 à 15h12
9
antivirus

Des chercheurs d'Avast ont déclaré avoir trouvé un malware qui désactive les antivirus et installe un logiciel pour miner de la cryptomonnaie.

Ce virus se propage à travers des copies illégales de jeux vidéo, ciblant les plus populaires d'entre eux.

Crackonosh, un malware qui désactive des antivirus pour installer un logiciel de minage

Interpelés par des retours d'utilisateurs indiquant qu'Avast avait été supprimé de leur ordinateur, les chercheurs de l'entreprise ont fini par trouver un malware, qu'ils ont nommé « Crackonosh ». Ce virus, caché dans des copies pirates de jeux vidéo populaires, circule selon eux depuis 2018 et a un but principal l'installation d'un logiciel de minage pour récupérer de la cryptomonnaie.

Crackonosh s'installe sur le PC de sa victime durant l'installation du jeu et reste dormant pendant un moment. L'un de ses scripts qui se lance au démarrage, Maintenance.vbs, est doté d'un compteur qui attend le septième ou dixième démarrage du système pour lancer serviceinstaller.msi. Il fait également en sorte qu'au prochain démarrage, le système se lance en mode sans échec.

Quant à serviceinstaller.msi, il ne sert qu'à permettre à serviceinstaller.exe d'être exécuté en mode sans échec, en l'enregistrant comme service. Maintenance.vbs et serviceinstaller.msi sont par la suite supprimés, afin de couvrir leurs traces.

En mode sans échec, les antivirus ne fonctionnent pas et le virus en profite pour désactiver et supprimer Windows Defender pour installer son propre programme imitant l'icône du programme de Microsoft. Il s'occupe également de désactiver les antivirus présents sur l'appareil ainsi que les mises à jour automatiques du système et met en place des systèmes pour pouvoir se mettre à jour, éviter la détection et l'analyse.

Un virus qui se propage par des jeux piratés

L'objectif final de ce malware est l'installation d'un mineur de cryptomonnaie, XMRig. Grâce à ce système, les créateurs de ce virus auraient réussi à récupérer 9 000 XMR depuis juin 2018, qui correspondent à 2 millions de dollars selon le cours actuel. 222 000 systèmes auraient été infectés dans le monde entier.

Avast a trouvé Crackonosh dans les installeurs de 11 jeux piratés, dont GTA V ou encore Les Sims 4, souvent des cibles faciles compte tenu de leur popularité auprès des joueurs. « Ce qu'il faut retenir de tout cela, c'est qu'il n'est pas possible d'obtenir quelque chose pour rien et que lorsque vous essayez de voler un logiciel, il y a de fortes chances que quelqu'un essaie de vous voler », conclut Daniel Benes, l'auteur du papier.

Si vous pensez avoir été infecté par ce malware, Avast détaille comment le détecter et le supprimer du système dans son article, cité en source.

Les jeux piratés concernés par le malware © Avast
Les jeux piratés concernés par le malware © Avast

Sources : Gizmodo, Avast

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (9)

Kriz4liD
tu payes , mais indirectement
pinkfloyd
Un vrai firewall + une surveillance de l’utilisation cpu devrait permettre a la plupart des gens de détecter cette salop*****, enfin, a ceux qui savent comment faire il est vrai.<br /> Un vrai anti-virus aussi ^^
Johnny6
µTorrent en avait intégré un aussi à un moment donné. Qu’est-ce qu’ils avaient pris dans les dents quand ça s’est su.
bizbiz
C’est Avast ou c’est Clu² qui à un an de retard ? Et il n’y a pas que les jeux qui sont concernés !<br /> https://www.youtube.com/watch?v=MfbE0legFAg
eykxas
Ou alors plus simple, tu ne prends pas de jeux piraté. Hop ! Plus de problème !
ReActif
C’est drôle après coup de faire une recherche des termes «&nbsp;System32\Maintenance.vbs&nbsp;» sur les forums d’entraides et voir la quantité de personnes venant pour un problème de message d’erreur au démarrage indiquant ne pas trouver ce fichier… Et voir que la plupart du temps on leur dit que c’est un problème de Windows, que faut réinstaller ou juste créer un fichier VBS vide du même nom…<br /> Maintenant on sait surtout qu’ils jouaient a certains jeux ^^
ReActif
Un peu des deux, et vu que l’attaque est en connu au moins depuis juin 2018 si on se base sur les gain en XMRig uniquement.<br /> Mais d’expérience, j’ai souvent vu que il semble que les infos ne circulent pas très bien voir pas entre ceux qui connaissent bien les cryptomonnaie ou les methodes fourbes de minages et les experts en securités.<br /> C’est pas la première fois que les sociétés de sécurités découvrent des méthodes une fois qu’elle sont utilisé en masse alors que des mineurs ou passionnés en discutait depuis longtemps sur des sites spécialisés juste sur la base de ‹&nbsp;est-ce possible&nbsp;› ou le faisait a des échelles plus réduites.<br /> Si on prend en comtpe que meme Microsoft sur son site ne semblait pas connaitre l’attaque encore recemment vu que des questions spécifiques sur des problèmes de Maintenance.vbs indiqué comme absent au boot, etait indiqué souvent comme une problème de Windows et donc cela avait tendance a rassurer les personnes que ce fichier etait legitime et l’erreur non grave.<br /> Ben quand un membre de Microsoft repond que pour réglé ce souci suffit de créer un VBS du même nom et vide, ca montre combien il n’y a pas eu même la recherche de ce qu’etait ce fichier en premier lieu ou une méprisé de son contenu (existerai il un fichier du même nom possiblement present, c’est possible aussi)
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Attention à ce malware qui se propage et menace votre navigateur Attention à ce malware qui se propage et menace votre navigateur
Un trojan s’attaque à des millions de téléphones via le magasin d’applications de Huawei Un trojan s’attaque à des millions de téléphones via le magasin d’applications de Huawei
Ce mystérieux malware russe utilise à votre insu le micro de votre smartphone Ce mystérieux malware russe utilise à votre insu le micro de votre smartphone
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence ! Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment ! Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !