France Hardware / Degrouptest hackés : délivre le rogue/scareware Security Sphere 2012

Un nouveau hack de site WEB qui tappe sur des sites entre 80k / 40k sur Alexa (merci à juju666 pour l’info).
Le hack conduit à un exploit sur site WEB pour dropper le rogue/scareware Security Sphere 2012

En visitant le site degrouptest.com – on peux voir une connexion vers nostat.cu.cc (182.18.185.81)

Avast! bloque la connexion :

qui conduit à un exploit sur site WEB

qui lance automatiquement le dropper – on reconnait l’îcone de Security Sphere 2012

Sur le site degrouptest, on peux voir des liens vers la régie de pub interne publicite.fhsarl.com
Celle-ci appartient au même groupe France Hardware => hxxp://www.fhsarl.com/activites.html

On peux voir que la connexion à la page spc.php contient des liens vers l’host malicieux nostat.cu.cc (182.18.185.81)
La régie a probablement dû être hacké, potentiellement donc, tous les sites du groupe qui utilisent la régie peuvent conduire à l’infection.

puis les connexions de  nostat.cu.cc (182.18.185.81) avec le javascript offusqué

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 17 times, 1 visits today)

7 thoughts on “France Hardware / Degrouptest hackés : délivre le rogue/scareware Security Sphere 2012

  1. C’est tous récent. Je me suis connecté à degrouptest le 15 oct sans problème. Mais samedi, j’ai chopé le malware. J’ai nettoyé comme il faut. Avira a trouvé également TR/Trash.Gen.
    Le lendemain, soupconneux du site degrouptest, j’ai réessayé. Rebelote.
    Renettoyage.
    Voici le malwarebytes log.

    22/10/2011
    20:10:40
    Fichier(s) infecté(s):
    c:\documents and settings\administrateur\Bureau.012932802463424875.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\administrateur\local settings\Temp\jar_cache49601.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    23/10/2011
    11:24:42
    Fichier(s) infecté(s):
    c:\documents and settings\administrateur\application data\Sun\Java\deployment\cache\6.0\6743a380-124482b5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\pm32111oinip32111\pm32111oinip32111.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    17:53:59
    c:\documents and settings\administrateur\local settings\Temp\ae67d.tmp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

    18:15:40
    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (Rogue.RemovalTool.M) -> Value: 0 -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\documents and settings\administrateur\Bureau.9732215562269434.exe (Rogue.RemovalTool.M) -> Quarantined and deleted successfully.

    J’ai vidé le java cache.
    Et j’ai reessayé.
    Cette fois-ci, Avira a bloque l’exploit score[1].swf. de nostat.cu.cc N’empêche. le .exe s’est incrusté sur mon bureau et dans le registre. Mais j’ai pu les supprimer avant qu’il ne s’execute.

    Merci d’avoir été le premier a expliqué comment ça marche. C’est un peu compliqué pour ma petite tête blonde. Mais c’est intéressant quand même. Et gratfiant de savoir que j’étais sur la bonne piste. Merci Malekal

  2. La version d’Avast qui bloque l’URL malicieuse (seconde capture d’écran), c’est la version gratuite de l’antivirus ou la payante? Merci.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *