[WARNING] Watch your scl_keygen.exe

flygoat

It appears this hasn't been brought up here yet - the scl_keygen appears to be a deliberate honeypot scheme put out by the vendor.

I've come across quite a concerning analysis about this, which revealed malware inside scl_keygen executable:

恶流(EvilFlow)涌动：披露针对全球工业领域盗版软件使用者的钓鱼行动

Do exercise proper caution when dealing with these tools!

Further reading: （2020）最高法知民终1164号

ether_king

good post

Newstyle

Synopsys 是电子设计自动化软件工具的主导企业，致力于复杂的芯片上系统(SoCs)的开发，VCS 是业内最高性能的仿真引擎、约束条件解算器引擎。通过样本溯源发现，与其他直接篡改破解安装包的植入方式不同，针对VCS的攻击诱饵，是通过在其外部广为流传的注册机程序scl_keygen.exe中捆绑后门实现。

1627978728_6108fbe865403e03607a2.png!small?1627978733726

此样本将服务名伪装成智能卡缓存（Smart Card Cache）和系统代理（System Broker），描述分别为“Enables data caching for smart card readers.”和“Monitors execution of background processes and coordinates their work.”，实际功能与CATIA样本的两个服务一致。其释放的smsp.imp在内存解密装载后是PrsCore.dll。此样本中服务端IP是54.87.181.244，如下图所示，其关联域名大多伪装成升级检查或者数据服务等类型。

1627978387_6108fa936ef98329a2509.png!small?1627978394481

Newstyle

针对报告的第二项：
针对VCS破解时，包含了恶意木马。这个说明可以看那个金山报告。但没有明白怎么运作成功的。只是他收集了大家的邮件和各个信息摘要。

tracy6969

thanks

flygoat

Newstyle 发表于 2025-1-31 09:23
针对报告的第二项：
针对VCS破解时，包含了恶意木马。这个说明可以看那个金山报告。但没有明白怎么运作成 ...

They will identify you and sue you based on those info.

coyboy912

看来大家要好好查查这些小工具了，太可怕了

killwin

MARK下

xbwpc

scl_keygen早就没用了，现在都是直接patch的，license文件直接批量替换文本就可以，不再需要工具算号了。

acfun

这文章都是2021年的了，现在都2025年了。