[GRRrrr] SFR et jeux-video.com : deux gros nazes du numérique…

Aujourd’hui en farfouillant, je suis tombé sur ce post sur le froum jeuxvideo.com (je traine par là, car par le passé, y avait eu quelques topics avec des malwares, en l’occurence des RATs).

Je suis tombé sur ce post où une personne se plaint d’avoir été hacké et avoir été volé conduisant à un découvert de 500 euros :

Capture d’écran à l’appuie – ce sont des suspicions très fortes :

Sur le même thread, on peux voir ce super post de SPAM :

et après une petite recherche, on retrouve le post initial conduisant au malware, toujours existant…. ce dernier date du 23 octobre.
Formidable, ces forums immenses non modérés.

En ce qui concerne le lien, on arrive à une fausse page de vidéo où il faut télécharger le Flash Player pour visualiser la vidéo…
Un beau exe au bout…
Bref, le principe des faux codecs, vieux comme le monde qui fonctionne encore.
Du social engineering  dans tout sa puissance…

Le malware qui colle sa clef Run pour se lancer au démarrage – c’est le fichier mstsc95.exe qui est droppé :

Le dropper lance aussi un processus FLSH.exe qui va chercher le vrai installer Adobe Flash :

ainsi l’internaute ne se doute de rien.

La détection du dropper : http://www.virustotal.com/file-scan/reanalysis.html?id=8db2da38c6350b3a3d868ff84394629a9c41d48bc28ab428efdd6b49a16dab6e-1320399155

File name: install_flashplayer.exe
Submission date: 2011-11-04 09:00:59 (UTC)
Current status: finished
Result: 10/ 42 (23.8%)

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.04.00	2011.11.04	Trojan/Win32.Siscos
AntiVir	7.11.17.9	2011.11.04	PCK/Molebox
Antiy-AVL	2.0.3.7	2011.11.04	Trojan/Win32.Siscos.gen
BitDefender	7.2	2011.11.04	Trojan.Generic.KDV.305950
F-Secure	9.0.16440.0	2011.11.04	Trojan.Generic.KDV.305950
GData	22	2011.11.04	Trojan.Generic.KDV.305950
Panda	10.0.3.5	2011.11.03	Suspicious file
SUPERAntiSpyware	4.40.0.1006	2011.11.04	-
Symantec	20111.2.0.82	2011.11.04	Trojan.ADH.2
VBA32	3.12.16.4	2011.11.02	Trojan.Refroso.dwyl

MD5   : 2a7c6f5b96a62d939d2754b3e14ad62c
SHA1  : 60e6697e02cd8d5d38442bfa5cffc427f1e3e84f
SHA256: 8db2da38c6350b3a3d868ff84394629a9c41d48bc28ab428efdd6b49a16dab6e

Il existe meme unt domaine (hxxp://www.videowado.net/- 194.150.236.25  hosté par AZNET) comme font les pros qui conduit à la page ci-dessous :

Un whois donne :

Domain Name : VIDEOWADO.NET
Created On : 2011-10-26
Expiration Date : 2012-10-26
Status : ACTIVE
Registrant Name : Mourad Yusuf
Registrant Street1 : 110 rue Verdun 76230
Registrant City : rouen
Registrant State/Province  :
Registrant Postal Code : 76230
Registrant Country : FR

Mais d’après les pages jaunes, personne de ce nom à cette adresse.
Bon rien de vraiment interressant du côté malware. La justification du billet est ce qui suis, et ce qui m’a ennervé.

La résolution DNS de limtred1.no-ip.biz vers une IP SFR.

La confirmation de la tentative de connexion du malware vers une IP SFR :

Ce qui m’ennerve c’est que si on fait une recherche Google sur limtred1.no-ip.biz – on tombe sur : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ et http://forum.malekal.com/microsoft-kb65465-exe-backdoor-poison-t22991.html (Janvier 2010) et aussi : http://www.jeuxvideo.com/forums/1-50-45770422-12-0-1-0-a-propos-de-minijeux-servegame.htm (mai 2010)

Suite au premier post, j’avais contacté l’abuse de SFR qui a ……. manifestement rien fait.
En gros, ça doit faire plus d’un an, que le forum jeuxvideo est pourri par ce gars.
A l’heure des DPI, d’Hadopi avec tout ce blabla contre le piratage (on parle pas du même… sic…)…. A l’heure de tout ce blabla, on voit qu’il est facile pour n’importe quelle neuneu de polluer les PC des autres.

Personnellement, je trouve cela inadmissible.
Une partie de la faute vient de l’internaute qui a le clic facile et ouvre n’importe quoi, certes…
Mais, il y a une grosse part de responsabilité de jeuxvideo.com qui a un forum non modéré, une vrai poubelle numérique… et SFR qui a, à priori, rien fait, suite à mon mail.

Alors je tire mon chapeau… et un gros bravo à ces services mastodontes qui font pas leur boulot.
De quoi promette encore de long mois de vols et compagnies à n’importe quelle neuneu bidouilleur.

En attendant, je vais me répéter pour la 3000000000e fois : N’ouvrez aucun fichier – quelque soit le motif – sur un site issu d’un commentaire d’un forum, facebook ou autres.
En cas de doute, soumettez le fichier à VirusTotal : http://www.virustotal.com
Ou envoyez le moi sur http://upload.malekal.com en me contactant (bouton contact en haut à droite). 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 66 times, 1 visits today)

12 thoughts on “[GRRrrr] SFR et jeux-video.com : deux gros nazes du numérique…

  1. oui mais je parlais du domaine/site, j’avais bien vu que ça conduisait au site initial (c’est pas forcément clairement bien dit)
    Mais au final, ça fait deux adresses pour les internautes, en sachant que la première fait plus « vrai ».

  2. Interessant effectivement. Cela fait peur de voir que des gens « click » encore sans réfléchir 🙁
    Sinon tu utilise quoi come software pour detecter les modification de type registre ou autre au sein du systeme?
    je ne reconnais pas l’icone 🙂

  3. Pour avoir bosser comme abusemaster il y a une dizaine d’année pour un gros provider (pas Sfr), je peux vous dire qu’après mon départ je n’ai pas été remplacé (c’est sûrement une personne de l’assistance technique voire un modérateur quelconque qui a dû récupérer l’adresse abuse en plus de ses autres fonctions). Donc pas surprenant que le fait d’écrire à abuse n’entraîne pas une réponse rapide.

  4. le fichier flash player .exe infecté a été envoyé a Kaspersky lab pour analyse a l’instant:

    reponse=====>Backdoor.Win32.Curioso.bse
    New malicious software was found in this file. It’s detection will be included in the next update. Thank you for your help.

    Best Regards, Kaspersky Lab

  5. Ayé, no ip à déglingué le compte, le limtred1.no-ip.biz renvoie l’adresse ip 0.0.0.0

    # dig limtred1.no-ip.biz ;
    DiG 9.7.3
    limtred1.no-ip.biz ANSWER SECTION: limtred1.no-ip.biz. 113 IN A 0.0.0.0′.

  6. Ho, limtred1… Je peut vous dire une chose.. C’est que la personne derrière ce « ndd » ne fait pas que poster sur JV. (d’ailleurs pour JV je découvre). Avant, il à inondé un certain nombre de sites « wawa » avec ses bouses… Et la, même si tu dénonce un virus avec des preuves, les modos s’en foutent (certains sont même complices visiblement)..

    Sinon, carton rouge pour ces deux sites.

  7. oui j’imagine.
    Le domaine et le site est down.

    malekalmorte@MaK-tux:/tmp$ host limtred1.no-ip.biz
    limtred1.no-ip.biz has address 0.0.0.0

    donc si y a pas une autre adresse, il/ils va/vont repartir à zéro avec leur botnet.

  8. j’ai signalé le site www-videowado-net au hebergeur AZNET et voila l’email que j’ai reçu :

    Bonjour,
    Merci pour votre notification, nous avons pris les mesures nécessaires contre le site incriminé dans votre message.
    Bonne journée,

    le site est DOWN 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *