Im Internet findet man oft gecrackte Versionen von Software. Statt kostenlose Software fängt man sich hier meist eher einen Virus/Trojaner ein.
Software kostet in vielen Fällen Geld, da liegt die Verlockung nahe sich einfache einen Crack oder Serial aus dem Internet zu holen. Das ist meist eine schlechte Idee, da die Dinger oft mit Viren verseucht sind.
Also schauen wir uns mal an, was bei so einem Crack mit dabei ist, am Beispiel unserer eigenen Software DA-FormMaker, eine Software zur Erstellung von Internetformularen.
Sucht man im Internet nach einem Crack findet man z.B. die folgende Webseite:
Auf dieser finden sich auch gleich ein paar Hinweise, wie die Software gecrackt werden kann. Besonders toll finde ich den Hinweis, dass wir den Virenscanner deaktivieren müssen.
Aber gut laden wir die Sache mal herunter. Das mache ich nicht an meinem Windows-Rechner, sondern in einer virtuellen Maschine und Linux. Hier kann der Virus nicht direkt ausgeführt werden und ich kann das Ding auch jederzeit zurücksetzen.
Der Download ist eine ZIP-Datei. Diese werfen wir gleich mal in VirusTotal. Nur zwei Virenscanner springen hier an. Wir sehen gleich warum.
Das Archiv enthält nämlich ein weiteres ZIP-Archiv, dieses ist passwortgeschützt. Ein beliebter Trick, dass Virenscanner das Ding nicht untersuchen können. Das Passwort liegt passenderweise mit bei, in einer Textdatei.
Die Textdatei enthält das Kennwort, welches einfach nur “123456” ist. Dazu gibt es etwas ASCII-Art.
Nun können wir das verschlüsselte Archiv entpacken. Eine .exe Datei kommt zum Vorschein. Diese laden wir ebenfalls zur Überprüfung auf VirusTotal. Jetzt wird das Ergebnis schon eindeutiger. Zahlreiche Virenscanner springen an. Wer also diese Datei ausführt, geht mit seinem Computer ein großes Risiko ein.
Allerdings sieht man auch, dass weniger als die Hälfte der Scanner etwas findet. Mit einem installierten Virenscanner sollte man sich daher auch nicht in Sicherheit wiegen.
Nicht nachmachen: Test mit Windows
Nun testen wir das Ganze mal in Windows 10, natürlich auch in einer VM, Internetzugang ist deaktiviert. Nach dem Entpacken sehen wir den Installer. OK, das Icon hat schonmal nichts mit unserer Software zu tun.
Und natürlich will die Software Admin-Rechte.
Was dann passiert lässt sich mit einem Tool wie Procmon nachvollziehen. Es werden jede Menge Dateien im System bearbeitet und ersetzt. D.h. der Trojaner nistet sich richtig schick im System ein.
Fazit
Wer illegal Software aus dem Internet lädt oder sich mit Cracks eine Testversion zur Vollversion freischalten lassen will geht ein hohes Risiko ein. Daher besser lassen, entweder die Software zahlen oder eine kostenlose Alternative nutzen.
