Forum Macbidouille hacké => rogue

Après Netcourrier, le forum lagarde et FranceHardware, un autre cas de hack pour ajouter un javascript malicieux conduisant à un exploit sur site WEB.
Vu sur le forum : http://forum.malekal.com/rogue-system-restore-t34661.html#p268221

Le site MacBidouille a un rank de 10 / 15k sur Alexa :

Sur le site rien de spécial… par contre, une connexion au forum, montre un contact vers cette URL en Turquie :

1320053199.019    357 192.168.1.27 TCP_MISS/502 846 GET http://qelzdqbc.dnset.com/main.php?page=2701c6e26dca8a78 - DIRECT/94.103.36.49 text/html

Pas de bol (enfin pour moi) mais plutôt bien pour les visiteurs, le lien ne conduit plus à un malware à l’heure où sont écrites ces lignes – d’après le message source, l’infection est de type rogue/scareware.

Ci-dessous le JavaScript offusqué en tête de page, ce dernier n’apparaît qu’à la première connexion. L’IP du visiteur est ensuite enregistrée et le script malicieux n’apparaît plus par la suite.

La détection du script est pas formidable : http://www.virustotal.com/file-scan/report.html?id=1c920d2b02ddd44e241dad55bf25bd953c47b0f69d80d15af0ac781fe7ffdaf0-1320052313

File name: exploit.html
Submission date: 2011-10-31 09:11:53 (UTC)
Current status: finished
Result: 2/ 43 (4.7%)
ClamAV	0.97.3.0	2011.10.31	PUA.HTML.Crypt
Kaspersky	9.0.0.837	2011.10.30	HEUR:Trojan.Script.Iframer

 

Sur le forum, pas de post concernant ce problème, la majorité des visiteurs étant certainement sous Mac et probablement sans antivirus, aucune alerte n’a dû être donnée.
Encore une fois, maintenez vos logiciels à jour (surtout Java et les produits Adobe) afin de ne pas être vulnérables à ces attaques.

EDIT – j’ai réussi à avoir l’infection :

61	200	HTTP	forum.macbidouille.com	/	18 243		text/html	iexplore:2204
62	200	HTTP	kzwidhkrrq.4dq.com	/main.php?page=2701c6e26dca8a78	96 106		text/html	iexplore:2204
81	200	HTTP	kzwidhkrrq.4dq.com	/w.php?f=16&e=4	493 568	must-revalidate, post-check=0, pre-check=0  Expires: Mon, 31 Oct 2011 10:04:35 GMT	application/x-msdownload	iexplore:2204
82	200	HTTP	kzwidhkrrq.4dq.com	/w.php?f=16&e=2	493 568	must-revalidate, post-check=0, pre-check=0  Expires: Mon, 31 Oct 2011 10:04:37 GMT	application/x-msdownload	javaw:2392
83	200	HTTP	kzwidhkrrq.4dq.com	/content/field.jar	5 758		application/java-archive	java:2472


Le dropper : http://www3.malekal.com/malwares/index.php?&hash=b704f966146f4b33baa8ded059212f3c

Avast! fait le job :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 24 times, 1 visits today)

4 thoughts on “Forum Macbidouille hacké => rogue

  1. Avant de déposer le rogue, la petite bête est en mesure de communiquer avec:
    – WESTWAYTBAL.COM
    – BRONETECT.COM
    – PICAGER.COM
    – GETCODPEN.COM
    – OPEN-994233.COM
    – LUBUNDINAM.COM
    – WIKI-722866.COM
    – START-258527.COM
    – MIX-668882.COM
    – JOCKEYRAYNHAM.COM

    A+ Mak ^_^

  2. Euh, un rogue Windows sur un forum Mac?
    C’est à se demander si les victimes en parleront, de honte de dire « j’ai surfé sur ce site sous Windows » 😀

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *