Des ISO pirates de Windows circulent... avec un malware intégré

Camille Coirault
24 juin 2023 à 18h45
29
© Sutthiphong Chandaeng / Shutterstock
© Sutthiphong Chandaeng / Shutterstock

De multiples versions piratées de Windows 10 circulent sous format torrent, ce n'est pas un phénomène nouveau. Récemment, bon nombre d'ISOs (images disque) ont été détectées avec un malware intégré dans la partition, le rendant difficilement détectable.

Les réseaux de hackers ont trouvé une astuce imparable pour distribuer des versions piratées de l'OS. Le malware est directement intégré dans la partition EFI (Extensible Firmware Interface). Cette méthode lui permet d'esquiver tranquillement les analyses antivirus classiques. En effet, la partition EFI n'est pas scannée systématiquement par ces derniers.

L'EFI, la bonne planque pour un malware

La partition EFI est essentielle au bon fonctionnement des systèmes UEFI (Unified Extensible Firmware Interface). Elle contient l'ensemble des fichiers de démarrage et les informations nécessaires au chargement du système d'exploitation. Elle est la clef de voûte du processus de démarrage et de la gestion des périphériques dans les ordinateurs compatibles UEFI, c'est-à-dire de 80 % des machines du marché. Grâce à une interface plus moderne et flexible, elle permet un amorçage du système plus agréable que par le biais d'un BIOS traditionnel.

Les hackers utilisent donc cette partition comme un espace de stockage pour leur petite bête malveillante. Parfaitement conscients que les antivirus classiques ne scannent généralement pas cette partition, ils ont ainsi tout le loisir d'y glisser ce qu'ils veulent.

Une infiltration digne de Sam Fisher

Les différentes ISOs contaminées identifiées par les chercheurs de Dr. Web contiennent des fichiers suspects directement incrustés dans le répertoire système tels que :

  • \Windows\Installer\iscsccli.exe (fichier distributeur)
  • \Windows\Installer\recovery.exe (fichier injecteur)
  • \Windows\Installer\kd_08_5e78.dll (fichier détourneur)

Si une installation est lancée à partir d'un ISO présentant ce profil, une tâche planifiée est programmée. Celle-ci met en route le distributeur qui configurera la partition EFI en tant que lecteur « M:\ ». L'injecteur prend ensuite le relais et copie les deux fichiers, kd_08_5e78.dll sur le lecteur « C:\ ». Le fichier détourneur se met ensuite en route pour scanner le PC à la recherche de portefeuilles de crypto-monnaies. Pour faire simple, cela permet aux hackers de passer tous les systèmes de sécurité grâce à l'action conjointe de ces trois fichiers et de venir se servir à loisir dans les wallets. Un braquage tout en douceur, en somme.

© Lebigdata
© Lebigdata

Ces ISOs de Windows 10 transportent dans leur processus d'installation un malware judicieusement caché. En échappant aux détections classiques des antivirus, celui-ci peut venir se servir dans vos économies virtuelles. Moralité de cette histoire ? Ne téléchargez pas des OS sur des sites douteux et contentez-vous humblement des versions officielles.

Sources: BleepingComputer, Dr. Web

Camille Coirault

Camille Coirault

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baud...

Lire d'autres articles

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (29)

_Reg24
L’OS étant la fondation du PC (après le BIOS), installer un OS venant de je ne sais où, c’est un énorme risque d’infection!<br /> Une ISO de Windows, ça se DL sur leur site / via leur outil, mais nulle part ailleurs!
ar-s
Mais qui prend encore des ISO pirates alors qu’on peut avoir la version « propre » et mise à jour (relativement) via Media Creation Tool ?
Korgen
Quand on voit le prix des clés windows, même en version pro, il n’y a plus vraiment d’intérêt à télécharger une version hackée.
gamez
Quand on voit le prix des clés windows, même en version pro, il n’y a plus vraiment d’intérêt à télécharger une version hackée.<br /> sur le site microsoft 145€ la version famille de win11<br /> du coup il y a surement des anguilles sous roches dans les versions venudes à 3€
Kriz4liD
Tu as toi aussi des nanas trop chaudes qui te contactent directement avec des popup sur l écran Windows ? Moi j ai ça avec mon Windows ultimate !
V-Luminis
@Korgen. Sur Rakuten par exemple?
TofVW
Sauf que la clé à 3€, qu’elle soit légale ou non, elle n’installe pas de virus ou de cheval de Troie sur le PC : elle fonctionne ou elle ne fonctionne pas, et basta.<br /> Je plussoie mes VDD : pour installer Windows, c’est Media Creation Tool ou rien du tout.
gamez
TofVW:<br /> Sauf que la clé à 3€, qu’elle soit légale ou non, elle n’installe pas de virus ou de cheval de Troie sur le PC : elle fonctionne ou elle ne fonctionne pas, et basta.<br /> justement, certains trouvent en la version hackée (sans faire attention aux risques) un côté pratique qui évite de se retrouver à acheter des clés au rabais où c’est la loterie pour tomber sur une valide ou bien qui évite de dépenser pour les prix chers des versions officielles
Korgen
J’ai acheté plusieurs clés, et JAMAIS je n’ai eu de clé invalide.
gamez
je ne fais pas partie de ceux qui téléchargent les isos pirates, je te dis juste qu’ils existent.
Pretarian
Windows 10 pro est parfaitement fonctionnel, non activé. Ya juste le watermark sur le bureau mais rien est bloqué. Je pensais un temps qu’il se shutdown au bout d’une heure mais même pas.
LeChien
ISO pirate = sélection naturelle.<br /> Mes dernières clés win pro viennent de Cdiscount. Jamais eu de soucis.<br /> Et si on a une vieille bécane sous win7, la clé permet d’activer un win 10 ou 11.
alsaco67
Que l’on se soit « amusé » avec des versions « pirates » il y a 15 ou 20 ans, alors que l’on ne parlait quasi pas des menaces du net alors balbutioantes, et alors que windows était payant, les ados de l’époque usaient de ces versions avec même des suites logicielles intégrées à l’OS…<br /> Au XXI siècles s’amuser à cela alors que l’OS est livré avec les PC ou qu’il peut être acquis de manière propre pour ceux qui montent leur machine comme se fut mon cas, c’est prendre un risque inconsidéré et il ne faut pas se plaindre ensuite…
zmed
Beaucoup racontent n’importe quoi ici. Quand tu achètes un « windows » ou un « office » sur Rakuten à 90cts (ce qui m’est arrivé plusieurs fois). Tu n’achetes qu’une licence numérique. Le Windows tu va le télécharger sur le site officiel de Windows et tu active ta licence par téléphone.
V-Luminis
Oui en fait, tu peux juste pas changer ton fond d’écran et t’as ce petit overlay en bas à droite.
TofVW
À cette « loterie », il y a quand même 99,9% de chances de gagner. <br /> J’achète régulièrement des clés sur Rakuten quand je monte des PC pour des gens, et ça m’est arrivé une fois qu’elle ne marche pas : j’ai contacté le vendeur qui m’en a envoyé une autre dans l’heure.
bart56
iscsccli.exe ,recovery.exe, kd_08_5e78.dll sont chargés en mémoire vive au moment de leur lancement, non ? (Peut importe l’endroit de leur installation). L’anti virus a logiquement un scan en temps réel de la mémoire vive ? Même si l’anti virus ne peut pas supprimer la menace sur la partition non accessible, il doit pouvoir au moins avertir du problème quand le système « lance » le virus …?
DrGeekill
Encore une News qui arrive des jours après être apparue sur d’autres sites. Comme quoi il est jamais trop tard chez Clubic pour l’information tech hors IA, Musk et Crypto.
Laurent_Marandet
On voit que le secure boot imposé par Microsift ne protège de rien du tout, c’était juste pour empêcher d’installer des OS autres que Windows.
Feunoir
Le but c’est surtout le vidage de wallet. Si les gens ont les moyens de jouer avec leur argent ils pourraient au moins prendre un windows original (même plein pot, 150euros sur 10ans cela fait moins de 2euros par mois).<br /> Mais mon meilleur achat de d’OS c’est 3 boites win7 a l’offre de lancement (30€ la boite), la clé m’a encore servi le mois dernier pour activer win11 sur un pc tout juste monté (alors que je n’arrivais pas a transféré la licence numérique win11 du pc qu’il remplaçait malgré la désactivation de l’ancien et l’utilisation de la méthode microsoft)
fg03
Je ne comprends pas. Les ISO de Windows sont téléchargeable sur le site de Microsoft. Toutes les versions existent téléchargeables.<br /> Et le prix est dérisoire, j’ai acheté une licence légalement pour 10 centimes d’euro de Windows 10 Pro 64 bits.<br /> Donc les gens qui cherchent les problème c’est parce qu’il le veulent à chercher des version pirates gratuites. Et n’écoutez pas les sites comme Clubic ou autres faire des promos pour acheter des licences « pas cheres » à 15 ou 20 euros ! Y a exactement les mêmes pour moins de 1 euro. C’est juste que les autres prennent un max de marge.<br /> Et pour ma part la licence je l’ai acheté sur un site français connu basé à Bordeaux qui existe depuis plus de 20 ans, via son Marketplace. Licence reçue par mail sous 24h et licence activée sans aucun problème.
Korgen
Je ne crois que ce que je vois, entre mes clés et celles de mon entourage aucune clé invalide.
zmed
Ce que les gens ne comprennent pas c’est que les licences numériques (ou OEM) à 90cts ne sont valable que pour un seul PC avec la même configuration. Tu ne peux pas l’utiliser sur un autre PC même si le premier PC a cramé. Mais a ce prix, tu peux multiplier les petits pains sans te ruiner. C’est aussi valable pour les packs offices.<br /> Les clés désactivés peuvent être remis sur le marché. C’est très rentable pour Microsoft. Mais par moment ça bug, parce que la même clé est plusieurs fois sur le marché et ça marche pas pour celui qui l’achète. Mais le vendeur en donne une autre dans ce cas là.<br /> La licence Retail est beaucoup plus cher parce que tu n’as pas toutes ces contraintes. Tu peux changer de PC et de matériels sans griller ta licence…
jibelito
Formidable… surtout de ne plus avoir W7 et les suites remplacé par X X OSs libres
TofVW
Ma clé Windows 10 à 3€ (ouais c’était un peu plus cher à l’époque), achetée il y a plusieurs années, à servi non seulement à activer mon nouveau matériel l’été dernier (carte mère, proc, RAM), mais en plus en passant sur Windows 11.<br /> Même pas eu besoin d’utiliser la mise à niveau, j’ai installé direct le 11, entré la clé, cliqué sur « j’ai changé de matériel », et c’est tout.
zmed
Il y a plusieurs type de licence. - OEM - OEM SLP - OEM DM. J’ai été un peu vite dans mon explication. On peut changer tous les composants sur version OEM sauf la carte mère. Sur les version OEM SLP on peut tout changer y compris la carte mère sauf le disque dur…<br /> Voir sur crabe-info pour plus de details…<br /> Le Crabe Info – 3 Mar 16<br /> Tout savoir sur les licences Windows : Retail, OEM, SLP, VL… – Le Crabe Info<br /> Vous êtes perdu entre clé de produit et licence Windows ? Cet article vous explique tout sur les clés de produit et les licences Windows : Retail, OEM…<br />
ar-s
Non ce sont des licences souvent VL racheté à des entreprises étrangères ou en faillite. L’iso lui c’est le même chez Microsoft.
Senka
Il fut un temps où les OS version custom méga opti pouvait être utile pour installer par exemple un windows XP sur une machine à la config un peu légère…<br /> Aujourd’hui, tout ça, à bien changer et il est vrai que ça n’a plus tellement d’intérêt d’installer un OS custom qui à l’inverse t’apportera plus de merde qu’autre chose dans 80% des cas.<br /> Perso, j’attache bien plus d’importance à la sécurité de mon système, surtout dans une époque où tout est interconnecté.
gamez
très bien, il faut le dire à ceux qui téléchargent les isos pirates. (ce n’est pas mon cas)
gamez
Korgen:<br /> Je ne crois que ce que je vois, entre mes clés et celles de mon entourage aucune clé invalide.<br /> mais je t’ai déjà répondu, je t’ai dit que « je ne fais pas partie de ceux qui téléchargent les isos pirates, je te dis juste qu’ils existent » … donc dis ça à ceux qui téléchargent les isos pirates (ce n’est pas mon cas)
LeChien
Encore faut-il qu’il soit détecté.<br /> Au plus profond il est implanté (et là c’est type rootkit), au plus dure est la tâche… Et comme la cible est justement l’inverse d’un professionnel dans le secteur, il peut s’en passer du temps.<br /> Déjà d’un simple stealer d0 passe crème la plupart du temps (en général les gens commencent à se poser des questions quand certains de leurs comptes sont exploités).
Blackalf
DrGeekill:<br /> Encore une News qui arrive des jours après être apparue sur d’autres sites. Comme quoi il est jamais trop tard chez Clubic pour l’information tech hors IA, Musk et Crypto.<br /> Frustré d’avoir du attendre des jours avant de pouvoir poster un commentaire hautement constructif ?
Korgen
Et moi je te dis que tu dis une connerie. Tu dis pas juste qu’elles existent, tu dis que c’est « la loterie pour tomber sur une valide ». Tu laisses croire qu’il y a une pelleté de clés invalides chez les revendeurs, ce qui est faux. Comme t’a expliqué TofVW t’as genre 1 chance sur 1000 de perdre à ta « loterie » et en plus le vendeur t’en redonne une autre.<br /> Et en plus tu dis une autre connerie en prétendant ne pas « dépenser pour les prix chers des versions officielles ». Les clés « au rabais » comme tu te plais à les appeler te donnent accès à une version tout aussi officielle de Windows car téléchargée via l’outil de Microsoft.
Feunoir
Je crois que Microsoft n’a pas eu son mot a dire et y perd même des plumes, c’est l’europe qui a imposé la revente en occasion même pour le logiciel/numerique donc les licences windows et office.<br /> Normalement les clés devraient obligatoirement venir d’un pays européen mais elles n’ont pas d’odeur (comme on dit avec l’argent)<br /> C’est surement partie de là en fait : Revente de licences logicielles : c'est légal selon la justice européenne - ZDNet
gamez
(j’avais préparé une réponse sur l’utilisation de « certains trouvent » mais ça devient long donc je vais répondre à ta façon, c’est plus facile)<br /> Tu dis des conneries 145€ c’est pas bon marché du tout, d’ailleurs pourquoi ces offres existent alors qu’en face il y a tellement d’offres au rabais (145€ vs 3€ c’est un rabais, pas une augmentation)? y aurait-il quand même un public à qui cela s’adresse pour que ces prix, qui sont oui chers pour un lambda qui veut acheter, continuent d’exister? =)<br /> mais alors… certains ont quand même choisi de ne pas se diriger vers les versions à 3€, mais enfin pourquoi? ils ont surement leur raison. mais que peut bien être cette raison? que peuvent-ils bien penser? mystere mystere… je me demande ce qu’ils peuvent croire et qui les pousse à éviter ce choix, enfin j’en sais rien je ne fais pas comme eux =)
Feunoir
Les offres au rabais c’est de l’occasion, de la clé de recup, clairement pas du direct microsoft.<br /> Et je ne suis vraiment pas sur qu’hors Europe ce ne soit pas comme avant, un achat de logiciel normal au prix éditeur.<br /> Par contre 145 c’est pas vraiment super bon marché, un 80 me paraissait + au bon niveau.<br /> Le problème c’est qu’avant ce souk à la clé venant de je ne sais ou il y avait des versions boite oem vers 80€. Désormais Microsoft se prend plus trop la tête, c’est vers 150€ l’officiel en permanence.<br /> Même prendre une boite win11 sur amazon/cdiscount &gt;100€… bah tu n’es pas sur d’avoir de l’officiel cela pourra être un bout de carton imprimé, voir encore mieux avec une clé usb au contenu inconnu (ait confiance quand tu l’insères dans ton pc neuf), c’est devenu un bordel monstrueux ce marché de licence windows/office.<br /> Donc on a le choix, 145 sur le store microsoft ou des sites tiers « de confiance » ou faut mettre nos CB/paypal /email/portable pour avoir une clé.<br /> Puis une clé d’occasion, si elle est passé sur un pc un jour, Microsoft n’est pas obligé de faire du support/aide (c’est la règle européenne, il n’y a que le premier client qui y a droit (s’ils le veulent)). On me dira que le support sert a rien mais bon (et c’est pas vraiment faux, j’ai appelé Microsoft que pour des soucis d’activation époque win8 )<br /> L’activation c’est bien mais le pc je l’associe à mon compte microsoft. Si il y a incertitude sur le passé de cette clé cela ne me plait pas<br /> Mais au final le calcul a fini comme cela : 145€ sur mon pc à + de 2500€ de matos c’est pas tant que cela, c’est même le truc le moins cher de ma tour( si je fais un pack tour + les 4 ventilateurs noctua), et sur 7 ans c’est du 1.72€/mois, je bouffe bien + à la machine a café de mon boulot.<br /> Et, pour 4 pc?, depuis 2009 j’ai payé en gros (30 + 30 + 30 boites win7 home )+ (80 + 80 upgrade de 2 pc vers win8 pro) + finalement ce 145 en win10 pour le 4ieme, cela fait du 2€40/mois pour 4 pc sur cette période et le win10 dégrade la moyenne<br /> A titre de comparaison, je bouffe + d’argent en 4jours de machine a café que pour les windows pour mes 4pc, et coté jeu je paye déjà l’humble choice 109€/an, et steam/gamesplanet/fanatical/oculus/ubi store/ea store/epics store ramassent énooooormément + que microsoft <br /> Donc 145€ c’est pas rien, mais c’est un achat pas pour 10h de jeu, pas pour 30h de jeu, pas pour 200h de jeu → c’est pour des milliers d’heures d’utilisation.
zmed
Si tu ne vois pas l’arnaque, Linux est gratuit…
Feunoir
Ouais bah ta logique m’échappe <br /> J’ai fait un pc gamer a + de 2500€ je vais pas m’imposer un linux gratuit
Korgen
Tu comprends pas, depuis le début je ne parle pas de clés à 145 balles (ce qui n’a strictement aucun intérêt quand tu vois les prix ailleurs), je parle des clés allant de 1 à 12€ selon si tu prends une OEM ou une retail.<br /> Explique moi pourquoi prendre une version piratée dont le KMS est potentiellement bourré de véroles quand t’as une version safe et officielle (car oui, windows se télécharge depuis les serveurs MS, c’est la clé que t’achètes ailleurs) pour 1€ !!
bart56
D’un côté, je ne dois pas faire confiance à une image iso windows « modifiée » . Et de l’autre coté, je dois faire confiance à une image windows « légitime » dont l’antivirus n’est pas capable de me prévenir d’une menace qui me semble plutôt commune ( .exe ou .dll tronquée/packée…). J’ai la vague impression que dans les 2 cas l’utilisateur devra prendre des précautions !
LeChien
J’ai la vague impression que la question des malwares t’es plutôt étrangère… Ou alors tu forces le trait pour la forme.
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Attention ! De fausses images OnlyFans sont utilisées pour diffuser un vrai voleur d'infos Attention ! De fausses images OnlyFans sont utilisées pour diffuser un vrai voleur d'infos
Pourquoi utiliser un antivirus ? L'exemple de Bitdefender Pourquoi utiliser un antivirus ? L'exemple de Bitdefender
Windows 11 Moment 3 : toutes les nouveautés point par point Windows 11 Moment 3 : toutes les nouveautés point par point
Antivirus : notre sélection des meilleures suites de cybersécurité pour votre ordinateur Antivirus : notre sélection des meilleures suites de cybersécurité pour votre ordinateur
MSI intègre les GPU RTX 40 de dernière génération dans ses nouveaux PC portables MSI intègre les GPU RTX 40 de dernière génération dans ses nouveaux PC portables