Билли Гейтс атакуэ или ребут каждые два часа

Любителям "активаторов" "Chew-WGA " и "Remove WAT" посвящается. Желательно прочитать всем, чтоб потом не задавать глупых вопросов.

Это НЕ активаторы, а блокировщики активации! Ничего они не актвируют. А вскоре после их применения получите черный экран.

Это писали ещё год назад.

Компания Sunbelt Software, занимающаяся выпуском продуктов по информационной безопасности, утверждает, что в ближайшее время следует ожидать всплеск активности троянских коней на Windows 7. Речь идет о недавно появившихся двух приложениях-"активаторах", с помощью которых пользователи могут удалить файлы, относящиеся к процедуре активации операционной системы. "RemoveWAT и Chew-WGA. . . добавились к списку различных "взломщиков" ("кряков") и генераторов ключей ("кейгенов"), которые "ломают" пароли для активации или другие защитные механизмы легального программного обеспечения, часто бывают зараженными троянскими программами", - приводит слова исследователя компании Sunbelt Том Кельхнер (Tom Kelchner) издание The Register.

По его мнению, в ближайшее время на различных веб-сайтах и в файлообменных сетях появятся инфицированные версии "активаторов", от использования которых он предостерегает пользователей. Его коллега по ИБ-рынку, Ричард Кирк, руководитель компании Fortify, отмечает, что похожая ситуация наблюдалась и в январе 2007 года, когда на рынке появилась Windows Vista. Тогда существующие на тот момент "кряки" перестали работать вскоре после выхода обновлений от Microsoft.

По данным My Digital Life, новые хакерские инструменты – названные “RemoveWAT” и “Chew-WGA” – для активации Windows не требуют никаких ключей. За основу их работы взяты разные подходы, хотя и в целом похожие по своей сути.

В частности один из инструментов полностью удаляет из операционной системы активационную технологию Windows (WPA), отвечающую за активацию и лицензирование Windows 7. В то же время второй инструмент блокирует доступ к файлу sppcomapi.dll, чем заставляет Windows 7 считать, что она больше не нуждается в активации. Кстати говоря, оба инструмента также не позволяют операционной системе показывать раздражающие экраны о необходимости активации и другие подобные визуальные напоминания.Надо сказать, что Microsoft уже знает о выходе RemoveWAT и Chew-WGA и уже ищет способы блокировки их работы. По словам представительницы крупнейшего программного гиганта, компания уже работает над решением этой проблемы. Ранее Microsoft уже блокировала работу подобных инструментов с помощью Windows Update. Так, например, в начале 2008 года таким способом компания встала на пути у пары активаторов, а затем включила в Vista Service Pack 1 (SP1) механизм их обнаружения. И в этот раз компания может поступить подобным образом. Ведь удаление активационных компонентов системы требует исправления и изменения множества ее файлов, что легко выявить и аннулировать. По мнению My Digital Life, механизм обнаружения новых активаторов появится уже с Service Pack 1 (SP1) для Windows 7 и Windows Server 2008 R2 (а может быть и раньше).

Напомню, что в новой операционной системе Microsoft отказалась от Windows Genuine Advantage (WGA) в пользу Windows Activation Technologies (WAT). Тем не менее, на экранах конечных пользователей это почти ничего не изменило – они все еще видят надоедающие напоминания о необходимости активации. Единственное, при входе в систему пользователям больше не приходится ждать по 15 секунд для того, чтобы кликнуть по кнопке “Активировать позже” и продолжить переход на рабочий стол, как это было в Vista. В Windows 7 кликнуть по кнопке пользователи могут незамедлительно.

В то же время второй инструмент блокирует доступ к файлу sppcomapi.dll

А чем же так нежелательно вмешательство в sppcomapi.dll. Это так же давно обсуждалось и приведу только

цитату:

Для блокировки используются следующие команды:

takeown /F %WINDIR%\System32\sppcomapi.dll

icacls %WINDIR%\System32\sppcomapi.dll /deny *S-1-1-0:F

Здесь sppcomapi.dll — библиотека, которая контролируется основную часть функций SPP. Метод применим для операционных систем Windows 7 и Windows Server 2008 R2.

Здесь нужно добавить важную вещь: после использования команды takeown библиотека sppcomapi.dll станет доступна для записи, то есть открывается дорога для malware и вирусов. Это делается так: просто «отменяем» команду «icacls %WINDIR%\System32\sppcomapi.dll /deny *S-1-1-0:F», т.е. разблокируем. Инжектим свой злой код в эту dll, ждём пока пользователь перезагрузится. Вот такой простой rootkit.

А в основе работы RemoveWAT и Chew-WGA именно эти две команды.