chartsinfrance.net hacké ?

Exploit sur le site chartsinfrance.net – un site de musique.
40/20k sur Alexa :

chartsinfrance_hack0Le lancement du malware sur le site :
chartsinfrance_hack


La page acutalite/home.html redirige vers l’exploit kit : http://rmckksq.wikaba.com/laneesus.php?dingagen=322835  (78.110.62.93 – RU)chartsinfrance_hack2 chartsinfrance_hack3

Dans mon cas, Trojan.Necurs – mais on peux aussi ramasser du ransomware. chartsinfrance_hack4
chartsinfrance_hack5

 

La détection est bonne : https://www.virustotal.com/file/98fb9778208cb74c11a71afd065ae64e562ded1ae477ad42e392fe3711170319/analysis/
SHA256: 98fb9778208cb74c11a71afd065ae64e562ded1ae477ad42e392fe3711170319
File name: 8048ce21aad06bb8df7aed543937fb28
Detection ratio: 8 / 46
Analysis date: 2013-01-29 14:56:58 UTC ( 20 minutes ago )
ESET-NOD32 a variant of Win32/Kryptik.ATEH 20130129
Fortinet W32/Yakes.B!tr 20130129
Kaspersky UDS:DangerousObject.Multi.Generic 20130129
Microsoft Trojan:Win32/Necurs 20130129
Panda Trj/Dtcontx.A 20130128
Symantec Suspicious.Cloud.5 20130129
TheHacker Posible_Worm32 20130128
TrendMicro-HouseCall TROJ_GEN.RC1H1AT 20130129

 

Plutôt étranger de ne pas constater d’alerte de la part des habitués du site sur le forum.
Je vais les prévenir.

EDIT – le ransomware (Urausy) est distribué par une fausse alerte de sécurité Firefox

Le message : Your Version of Firefox (18.0) is vulnerable and needs to be updated.

Ransomware_Fake_Firefox Ransomware_Fake_Firefox2

Ce dropper était aussi distribué par des exploits sur site WEB via des malvertising la veille : http://malwaredb.malekal.com/index.php?hash=8048ce21aad06bb8df7aed543937fb28

La détection aujourd’hui : https://www.virustotal.com/file/57ff0699d3598d840b287a3216f657c7f6bb78d901b6d26b09a1c379897918df/analysis/

 

SHA256: 57ff0699d3598d840b287a3216f657c7f6bb78d901b6d26b09a1c379897918df
File name: 39a5001a22bbd80970fc125e3500f0cf.506a469d5f40db2c8d474ff4277b404705fc5c67
Detection ratio: 10 / 45
Analysis date: 2013-01-30 06:44:23 UTC ( 57 minutes ago )

AhnLab-V3 Trojan/Win32.Yakes 20130130
BitDefender Trojan.Generic.KDZ.5644 20130130
DrWeb Trojan.DownLoader7.49132 20130130
F-Secure Trojan.Generic.KDZ.5644 20130130
Fortinet W32/FakeAV.KLA!tr 20130130
GData Trojan.Generic.KDZ.5644 20130130
Kaspersky UDS:DangerousObject.Multi.Generic 20130130
Malwarebytes Trojan.Ransom.NDF 20130130
MicroWorld-eScan Trojan.Generic.KDZ.5644 20130130
VIPRE Trojan.Win32.Generic.pak!cobra 20130130

EDIT 9 Février

Une dizaine de jours après le malware est toujours présents sur le site :

chartsinfrance_hacked chartsinfrance_hacked2

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 27 times, 1 visits today)

3 thoughts on “chartsinfrance.net hacké ?

  1. Bonjour,
    article très intéressant, d’ailleurs j’y étais et je me suis vraiment demandé ce qui a pu se produire.
    Lonelylisa.com a aussi été hacké il y a de ça plus ou moins un mois.
    Merci Eset Smart Security qui a bloqué LL et CIF.
    @+ et merci pour l’article.

  2. Salut Homerlulu,

    Le site que tu mentionnes redirige toujours vers du contenu malicieux mais qui ne fonctionne plus : http://pjjoint.malekal.com/files.php?read=20130225_w5z9w15w15n14
    Vu la tête de l’URL, ça semble être du RedKit.

    En ce qui concerne ChartsInFrance, c’est une malvertising, elle était encore présente la semaine dernière.
    Difficile de savoir si elle est partie.
    Ironie du sort, ChartsInFrance fait de la pub pour Expecity qui redirige toujours vers du contenu malicieux : http://pjjoint.malekal.com/files.php?read=20130225_y10n6m12w9g13

  3. Hello,
    bien dommage, que ce site ne fonctionne plus :).
    Redkit…. je vais chercher sur ton site à quoi ça correspond.

    Pour CIF, faudrait contacter le modo…

    @+

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *