Vu en commentaire lorsque j’ai demandé où ont été choppés les malwares.
Merci à Splatch pour la réponse.
Du coup, un petit tour sur videobb et hop.. un exploit java
Une autre capture avec la pub en bas de videobb avec une applet Java qui se charge :
et Adobe Reader qui tente de charger le malware via un Exploit PDF
L’adresse malicieuse est asrvstatsmanager.com chargée par la régie adserve.com
Un whois sur le domaine donne asrvstatsmanager.com IP 188.95.53.124 (NL) :
Administrative Contact:
Adonis Partner Group
Adonis Papandreou (adonis.papandreou@ze.ro)
12 Olympionikou
Anthens
Fthiotis,15237
GR
Tel. +000.00000000
puis connexion à un rotator asrvstatsmanager.com/in.cgi?2 pour rediriger vers le BlackHole
Pour un aperçu de l’étendu des dégâts se reporter à la page : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »
et le javascript malicieux du BlackHole et on déroule le kit, ce qui donne au final :
ad.adserve.com /delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751 1 472 Expires: Thu, 01 Jan 1970 00:00:00 GMT text/html; charset=utf-8 firefox:592 asrvstatsmanager.com /ad_track.php?s=2&aid=123&cn=eu&cont 2 586 text/html firefox:592 asrvstatsmanager.com /in.cgi?2&ab_iframe=1&ab_badtraffic=0&antibot_hash=1743421938&ur=1&HTTP_REFERER=http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/xxxx gregoryhansonbloggers.com /forum.php?tp=ee39f2389ea07c28 91 139 text/html firefox:592 gregoryhansonbloggers.com /content/fdp1.php?f=19 70 698 application/pdf firefox:592 gregoryhansonbloggers.com /content/fdp1.php?f=19 70 745 application/pdf firefox:592 gregoryhansonbloggers.com /content/fdp1.php?f=19 70 607 application/pdf firefox:592 gregoryhansonbloggers.com /w.php?f=19&e=3 173 056 must-revalidate, post-check=0, pre-check=0 Expires: Tue, 13 Dec 2011 18:30:23 GMT application/x-msdownload acrord32:320
Une capture où l’on peux voir que le dropper a réécrit le fichier C:Windowsexplorer.exe – le fichier voit son hash modifié.
On reconnait donc le Trojan.Winlock/Ransomware Gendarmerie : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
Le mécanisme reste le même au niveau de l’infection typique des exploits sur site WEB.
Ce qui est assez navrant, c’est que l’on a pas affaire à un Malvertising (le premier Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming) mais deux Malvertising en circulation, une volonté aussi des auteurs de malwares de viser les sites de streaming et en l’occurence ici vidéobb qui sont très à la mode et donc de quoi viser un maximum d’internautes d’où la forte propagation de cette infection.
Vous pouvez filtrer les pubs via Adblock sur Firefox, par exemple, voir la page Sécuriser Firefox
Et surtout…
Et surtout je ne le répèterai jamais assez, maintenez à jour vos logiciels, si vous ne Pensez pas à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), votre PC est vulnérable aux exploits sur site WEB. qui ne vont pas que les sites de streaming !
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)
EDIT 14 Décembre 2011 :
adserve.com contacté – réponse mais le malvertising est toujours en ligne ………… :
Hi Malekal,
EDIT mi-Janvier 2012 :
De retour… ça va donc encore faire mal.
http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751
http://sp-adhitcounter.com/ad_track.php?s=2&aid=123&cn=eu&conte
http://sp-adhitcounter.com/in.cgi?2&ab_iframe=1&ab_badtraffic=0&antibot_hash=1851923371&ur=1&HTTP_REFERER=http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751&aid=123&cn=eu&conte
http://wild-horses-workshops.com/content/fdp1.php?f=19 (178.18.250.226)
http://wild-horses-workshops.com/content/cph2.php?c=19
http://wild-horses-workshops.com/content/fdp1.php?f=19
http://wild-horses-workshops.com/content/fdp1.php?f=19
http://wild-horses-workshops.com/content/v1.jar
http://wild-horses-workshops.com/w.php?f=19&e=3
Mars 2012 :
La malvertising sur adserve est revenue – Celle-ci pointe vers le même dropper que la malvertising clicksor : (3/43) http://www3.malekal.com/malwares/index.php?hash=99a59a555d8fb6c9986b6915916d260e
je voudrai savoir plusieurs chose, là on est sur le site officiel de vidéobb donc le maliciel se trouve dessus comment le pirate a peu le mettre? il n’est pas un simple uploader?
je site: ((L’adresse malicieuse est asrvstatsmanager.com chargée par la régie adserve.com ))
c’est du pishing?
l’exploit java profite d’une faille adobe?
Merci. cordialement.
Salut,
Faut connaître le fonctionnement des régies de pub (ce que je connais pas des masses).
Là tout se passe avec adserve.com (ou une régie tiers).
Je pense qu’ils se sont faire passer pour un client en proposant à adserve.com une bannière pour un produit quelconque, faut que ça fasse vraie.
La bannière fait rien que d’interroger un site ici asrvstatsmanager.com, au moment où tu proposes à adserve.com ça ne va pas vers du contenu malicieux (chuis mm pas certains que adserve.com aie des vérifications – mais bon), tu fais aller vers un site d’un produit ou je ne sais quoi.
Ensuite, quand tu veux commencer la campagne malicieuses, par exemple le vendredi soir, en début de WE, quand les internautes vont aller matter des films le soir et durant le WE et que les abuses roupillent et les labos des AV aussi.
Tu fais aller vers le rotator qui redirigent vers le blackHole et c’est parti.
adserve.com a été contacté hier, ils m’ont répondu ce matin et contrairement à l’édit, ça continue…
Sont pas très rapides…
qui redirige les internautes.