chartsinfrance.net hacké ?

Exploit sur le site chartsinfrance.net – un site de musique.
40/20k sur Alexa :

chartsinfrance_hack0Le lancement du malware sur le site :
chartsinfrance_hack
La page acutalite/home.html redirige vers l’exploit kit : http://rmckksq.wikaba.com/laneesus.php?dingagen=322835  (78.110.62.93 – RU)chartsinfrance_hack2 chartsinfrance_hack3

Dans mon cas, Trojan.Necurs – mais on peux aussi ramasser du ransomware. chartsinfrance_hack4
chartsinfrance_hack5

 

La détection est bonne : https://www.virustotal.com/file/98fb9778208cb74c11a71afd065ae64e562ded1ae477ad42e392fe3711170319/analysis/
SHA256: 98fb9778208cb74c11a71afd065ae64e562ded1ae477ad42e392fe3711170319
File name: 8048ce21aad06bb8df7aed543937fb28
Detection ratio: 8 / 46
Analysis date: 2013-01-29 14:56:58 UTC ( 20 minutes ago )
ESET-NOD32 a variant of Win32/Kryptik.ATEH 20130129
Fortinet W32/Yakes.B!tr 20130129
Kaspersky UDS:DangerousObject.Multi.Generic 20130129
Microsoft Trojan:Win32/Necurs 20130129
Panda Trj/Dtcontx.A 20130128
Symantec Suspicious.Cloud.5 20130129
TheHacker Posible_Worm32 20130128
TrendMicro-HouseCall TROJ_GEN.RC1H1AT 20130129

 

Plutôt étranger de ne pas constater d’alerte de la part des habitués du site sur le forum.
Je vais les prévenir.

EDIT – le ransomware (Urausy) est distribué par une fausse alerte de sécurité Firefox

Le message : Your Version of Firefox (18.0) is vulnerable and needs to be updated.

Ransomware_Fake_Firefox Ransomware_Fake_Firefox2

Ce dropper était aussi distribué par des exploits sur site WEB via des malvertising la veille : http://malwaredb.malekal.com/index.php?hash=8048ce21aad06bb8df7aed543937fb28

La détection aujourd’hui : https://www.virustotal.com/file/57ff0699d3598d840b287a3216f657c7f6bb78d901b6d26b09a1c379897918df/analysis/

 

SHA256: 57ff0699d3598d840b287a3216f657c7f6bb78d901b6d26b09a1c379897918df
File name: 39a5001a22bbd80970fc125e3500f0cf.506a469d5f40db2c8d474ff4277b404705fc5c67
Detection ratio: 10 / 45
Analysis date: 2013-01-30 06:44:23 UTC ( 57 minutes ago )

AhnLab-V3 Trojan/Win32.Yakes 20130130
BitDefender Trojan.Generic.KDZ.5644 20130130
DrWeb Trojan.DownLoader7.49132 20130130
F-Secure Trojan.Generic.KDZ.5644 20130130
Fortinet W32/FakeAV.KLA!tr 20130130
GData Trojan.Generic.KDZ.5644 20130130
Kaspersky UDS:DangerousObject.Multi.Generic 20130130
Malwarebytes Trojan.Ransom.NDF 20130130
MicroWorld-eScan Trojan.Generic.KDZ.5644 20130130
VIPRE Trojan.Win32.Generic.pak!cobra 20130130

EDIT 9 Février

Une dizaine de jours après le malware est toujours présents sur le site :

chartsinfrance_hacked chartsinfrance_hacked2

Print Friendly, PDF & Email
(Visité 69 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet