KMSPicoIMG

 最近、ネット上でも検索すれば出てきますが、「オフィス製品のクラックソフト」でメジャー?になっている「KMSPico」というのがあります。
 ダウンロードして実行するだけで、Microsoftの製品の認証をクラックできるというものですが、実はこのソフト、大変危険なソフトです。絶対興味本位に実行しないでください。
 実はこの「KMSPico」、実行するとオフィス製品などが無料で使えるらしいですが、その代わり高い代償を負わなければなりません。
 一度でも実行すると、そのパソコンはウイルスに侵されてしまいます。しかも「ウイルスの巣」になるのです。
virus002


 この「KMSPico」はセキュリティソフトでは「トロイの木馬」として検知します。この「KMSPico」を実行してしまうと、アドウェアや他のウイルスが次々と浸入してしまい、システムの不安定になってしまいます。一度感染された「KMSPico」を含むウイルスの駆除は困難になり、一度駆除しても新たなウイルスが侵入し、大きなダメージをパソコンに与えてしまいます。

 また、このソフトのダウンロード時に、他のアドウェアソフトもバンドルされており、インストールを行うと他のアドウェアソフトも一緒にインストールされてしまいます。


 実はこの「KMSPico」でクラックされたソフトは、きちんとMicrosoftにKMS認証されていないのです。
 この「KMSPico」は実行すると、Windowsの記憶域の中にエミュレーション(Emulation)を作って、模擬的な環境で認証を行っているようです。


 この「KMSPico」の動作の流れは次の通りです。
1.KMSpicoは独自のIDを使ってOSを識別します。

2.:フィッシング詐欺やアドウェアから守るSmart-screenのフィルタ(Internet-Explorerに装備された機能)を無効にします。

3.WindowsのDefenderの機能を停止し、「KMSPico」が発見なるのを防ぐため、アンチウィルスソフトやWindows Defenderの例外リストに「KMSPico」を付け加えます。
 (ここでトロイの木馬の動きが出来るようになります。)

4.他のソフトと競合を防ぐため、"C:\Windows\Setup\Script"からscriptの値を除去します。
 RMDIR /S /Q "C:\Windows\Setup\Scripts
 RD /S /Q "C:\Windows\Setup\Scripts
 というコマンドをバックグラウンドで実行させています。
 また、レジストリ上の情報を16進数の値をわずかしかもたなくなるようにバックグラウンドで実行します。これにより、レジストリスキャンでも「ウイルス」として認識させないようになります。

5.タスクスケジュールと1つのサービスを作成し、毎日23時59分59秒に起動するようにスケジュールを実行させます。
 すでに、この状態で「KMSPico」は管理者権限を持っているため、バックグラウンドで実行しても不正プログラムと見なされなくなります。

6.23時59分59秒になると、オフィス製品などのアクティベーションを延長するコマンドを実行します。
 通常はオフィス製品などのアクティベーションの製品の延長は180日間となっていますが、実際にはこの、180日間というのは表示上だけであり、永遠に延長できるようです。

7.プロダクトキーのアクティベーションの16進数の値を自己のものと置き換えます。

ComputerVirus

 ここで一つ言えることは、「KMSpico」を実行することにより、「KMSpico」のファイルに管理権を与えてしまっていることです。管理者権限を与えてしまうということは、Windowsのシステムファイルと同じように自由にプログラムが動いてしまうということです。この権限を悪用すればリモートからの実行で、所有者のファイル・システムにアクセスすることができ、システムを不安定な状態にすることができます。
 また、プロセスの中で所有者の個人情報を記載したファイルにアクセスすることも出来てしまいます。
 つまり、「KMSpico」を使ってバックグラウンドで何でも操作出来るようになってしまうといった「恐ろしい」ソフトなのです。
 絶対に「KMSpico」はインストール・実行しないでください。