11.11.2013 | 22:34

Adam Haertle

Instalowaliście cracki tej grupy? Szpiegowały użytkowników.

Producenci oprogramowania ciągle straszą wirusami w pirackich wersjach swoich produktów. Okazuje się, że tym razem mieli rację – jedna z grup, produkujących cracki, zamieszczała w swoich produktach funkcje szpiegujące użytkowników.

Jeśli ktoś decyduje się ściągnąć z sieci pirackie oprogramowanie, wie, że musi zachować czujność – często w archiwach można natrafić na niepożądane pliki z wirusami, dorzucane przez sprytnych „hakerów”. Mało kto jednak spodziewał się, że grupa wypuszczająca tzw. cracki każdy z nich wyposaży w szpiegowską funkcjonalność funkcję, która pozostanie niewykryta przez 9 miesięcy.

Grupa MeGaHeRTZ pierwszą swoją „łatkę” umożliwiającą korzystanie z programu bez rejestracji wypuściła 12 lutego 2013. Od tamtego dnia wypuściła ich ponad setkę, w tym również dla popularnych programów jak FlashFXP, DVDFab czy SmartFTP.  Dopiero w ten weekend jeden z użytkowników cracka grupy (i to by było śmieszniej, był to crack do Malwarebytes Anti-Malware Pro) zauważył podejrzany ruch na swoim firewallu – program próbował połączyć się z portem 25 zewnętrznego serwera. Analiza pliku wykazała, że crack, oprócz usuwania konieczności rejestracji programu, miał także ukrytą funkcjonalność funkcję.

Twórcy cracka z nieznanych do tej pory przyczyn postanowili dowiedzieć się trochę więcej o użytkownikach swoich programów. Crack zbierał takie dane jak nazwę użytkownika, nazwę komputera, numer seryjny dysku podawany przez Windows API oraz adres IP komputera i przesyłał na trzy zakodowane na stałe adresy poczty elektronicznej:

[email protected]
[email protected]
[email protected]

za pomocą skryptu który znajdował się pod adresem

http://mhzgroup.altervista.org/SendMailText.php

Do czego miały być te dane wykorzystane? To pytanie na razie pozostaje bez odpowiedzi.

Przykładowe NFO grupy

Przykładowe NFO grupy

Bez wątpienia kariera grupy MeGaHeRTZ została zakończona – wszystkie wydane przez nią cracki zostały usunięte z serwerów sceny warez z odpowiednim komentarzem. Jak jednak wiadomo, pliki „scenowe” żyją również drugim, a nawet trzecim życiem w sieciach p2p i na serwerach www, tak więc pewnie jeszcze niejeden użytkownik spotka zawartą w nich niespodziankę. Być może czas pokaże, ile danych i w jakim celu zebrali autorzy cracków.

Aktualizacja: Grupa właśnie ogłosiła, że dane zbiera do celów statystycznych…

Powrót

Komentarze

    • 2013.11.12 00:40 em

      Nie bądźmy świętsi od papieża. Słowo 'funkcjonalność’ od jakiegoś czasu widnieje w SJP w znaczeniu jakim zostało użyte: http://sjp.pwn.pl/haslo.php?id=2558726

      Odpowiedz
      • 2013.11.12 11:42 stachu

        1. nie masz racji
        2. papież nie jest święty

        Odpowiedz
        • 2013.11.12 22:09 uchasti

          Mam wrażenie, że polskie słowo „funkcjonalność” stosowane jest najczęściej jako kalka z angielskiego „functionality”, które oprócz tego, że znaczy pewną jakość, oznacza również ” a function or range of functions in a computer, program, package, etc.” (Collins English Dictionary – Complete and Unabridged © HarperCollins Publishers 1991, 1994, 1998, 2000, 2003). Jednocześnie nie twierdzę, że jest to poprawne.

          Odpowiedz
  • 2013.11.11 23:19 Robert

    Dlatego wybieram TYLKO oprogramowanie OpenSource, bo do niego nie trzeba cracków i nie ma tego problemu a do tego jego kod jest przejrzysty ;)

    Odpowiedz
    • 2013.11.20 18:06 wajdzik

      W OpenSource też zdarzały się „dodatki”. Przy większych programach ciężko sprawdzać, czy gdzieś nie jest zaszyty backdoor lub inny syf.

      Zresztą mi do programów nie będących OpenSource też nie trzeba cracków – wystarczy je kupić i docenić pracę programisty.

      Odpowiedz
  • 2013.11.11 23:50 x

    „Grupa właśnie ogłosiła, że dane zbiera do celów statystycznych…”

    „Crack zbierał takie dane jak nazwę użytkownika, nazwę komputera, numer seryjny dysku podawany przez Windows API oraz adres IP”

    Chyba na oglądali się wiadomości o ciągłym szpiegowaniu, i po prostu dodali swoje 3 grosze ;)
    Abo organy ścigania próbowały wejść, na scenę z tylną furtką na tych co ściągali jak by się nie udało..

    Odpowiedz
    • 2013.11.12 11:43 stachu

      Co za różnica kto poda tę informację, lud łyknie :>

      Odpowiedz
  • 2013.11.12 07:51 Ypsilon

    Może to była grupa na usługach organizacji antypirackiej? Wszystkie dane jak na tacy, pamiętam, że kiedyś była taka kancelaria prawna ze Szwajcarii która rozsyłała listy z propozycją „ugody” w zamian za wpłacenie odpowiedniej kwoty na ich konta, podawali numer IP i co kto ściągał z torrentów…..No cóż, trzeba się pilnować, nie jest powiedziane, że ciekawe służby i organizacje nie tworzą cracków na swoje potrzeby. W branży podsłuchowej wszystkie chwyty dozwolone.

    Odpowiedz
  • 2013.11.12 09:08 varez

    Jakiś ziomek wykrył ruch na porcie 25, a maile były wysyłane przez zewnętrzny serwer http, który nasłuchuje przecież na 80? [i to jest jakiś zwykły shared hosting, także nie postawili serwera http na porcie 25]
    Coś mi tu nie gra ;]

    Odpowiedz
    • 2013.11.12 09:47 mnmnc

      słuszna uwaga!
      Chyba, że ustawili serwer WWW na porcie 25, tylko który szanujący się hacker/cracker zrobil by coś tak głupiego?

      Coś się nie zgadza w tej historii faktycznie..

      Odpowiedz
  • 2013.11.12 12:09 Tomasz

    Chociaż wiekszości rzeczy nie rozumiem, to doceniam, co tutaj robicie. Masa ciężkiej pracy. Gratuluje Panowie !

    Odpowiedz
  • 2013.11.12 19:08 gosc

    W releasach innych grup również można było znaleźć tego typu „bonusy”. Są one formą zapłaty za korzystanie z programu za który trzeba byłoby zapłacić.
    Nie korzystam z pirackiego softu, gdyż nie mam ku temu potrzeby, a jeżeli ktoś chce za darmo skorzystać z danego oprogramowania – Sandboxie i wersje trial w większości przypadków pozwalają na korzystanie z danego oprogramowania „w nieskończoność”.

    Odpowiedz
  • 2013.11.12 21:13 Jaladreips

    Tylko tu zaglądam, ale dorzucę swoje. Uważajcie na wstawki WaLMaRT. Dodają do nich bfgminer.exe. Razem z startem sytemu uruchamiany jest proces NirCmd. Wiem, że to nie wirus, ale lepiej samemu decydować komu kopiemy bitcoiny:)

    Odpowiedz
  • 2013.11.12 21:15 cr0

    gdyby zbierali dane do celów statystycznych to powinni o tym poinformować użytkownika, to oczywiste, że cracki to wielki biznes i korzystając z nich trzeba mieć świadomość zagrożeń

    Odpowiedz
    • 2013.11.13 18:37 rthhdgh

      jest coś takiego jak firewall, zawsze warto blokować dostęp do netu każdego pirackiego programu, gry. Multiplayer na piratach i tak zazwyczaj nie działa w ogóle, a odcięty od netu crack nie wyśle niczego nigdzie

      Odpowiedz
  • 2013.11.16 04:51 Marcin

    do celow statystycznych hmm wlasciwie m$ czy adobe nie zbiera danych tez to robia

    Odpowiedz

Zostaw odpowiedź do Tomasz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Instalowaliście cracki tej grupy? Szpiegowały użytkowników.

Komentarze