[GRRrrr] SFR et jeux-video.com : deux gros nazes du numérique…

Aujourd’hui en farfouillant, je suis tombé sur ce post sur le froum jeuxvideo.com (je traine par là, car par le passé, y avait eu quelques topics avec des malwares, en l’occurence des RATs).

Je suis tombé sur ce post où une personne se plaint d’avoir été hacké et avoir été volé conduisant à un découvert de 500 euros :

Capture d’écran à l’appuie – ce sont des suspicions très fortes :
Sur le même thread, on peux voir ce super post de SPAM :

et après une petite recherche, on retrouve le post initial conduisant au malware, toujours existant…. ce dernier date du 23 octobre.
Formidable, ces forums immenses non modérés.

En ce qui concerne le lien, on arrive à une fausse page de vidéo où il faut télécharger le Flash Player pour visualiser la vidéo…
Un beau exe au bout…
Bref, le principe des faux codecs, vieux comme le monde qui fonctionne encore.
Du social engineering  dans tout sa puissance…

Le malware qui colle sa clef Run pour se lancer au démarrage – c’est le fichier mstsc95.exe qui est droppé :

Le dropper lance aussi un processus FLSH.exe qui va chercher le vrai installer Adobe Flash :

ainsi l’internaute ne se doute de rien.

La détection du dropper : http://www.virustotal.com/file-scan/reanalysis.html?id=8db2da38c6350b3a3d868ff84394629a9c41d48bc28ab428efdd6b49a16dab6e-1320399155

File name: install_flashplayer.exe
Submission date: 2011-11-04 09:00:59 (UTC)
Current status: finished
Result: 10/ 42 (23.8%)

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.04.00	2011.11.04	Trojan/Win32.Siscos
AntiVir	7.11.17.9	2011.11.04	PCK/Molebox
Antiy-AVL	2.0.3.7	2011.11.04	Trojan/Win32.Siscos.gen
BitDefender	7.2	2011.11.04	Trojan.Generic.KDV.305950
F-Secure	9.0.16440.0	2011.11.04	Trojan.Generic.KDV.305950
GData	22	2011.11.04	Trojan.Generic.KDV.305950
Panda	10.0.3.5	2011.11.03	Suspicious file
SUPERAntiSpyware	4.40.0.1006	2011.11.04	-
Symantec	20111.2.0.82	2011.11.04	Trojan.ADH.2
VBA32	3.12.16.4	2011.11.02	Trojan.Refroso.dwyl

MD5   : 2a7c6f5b96a62d939d2754b3e14ad62c
SHA1  : 60e6697e02cd8d5d38442bfa5cffc427f1e3e84f
SHA256: 8db2da38c6350b3a3d868ff84394629a9c41d48bc28ab428efdd6b49a16dab6e

Il existe meme unt domaine (hxxp://www.videowado.net/- 194.150.236.25  hosté par AZNET) comme font les pros qui conduit à la page ci-dessous :

Un whois donne :

Domain Name : VIDEOWADO.NET
Created On : 2011-10-26
Expiration Date : 2012-10-26
Status : ACTIVE
Registrant Name : Mourad Yusuf
Registrant Street1 : 110 rue Verdun 76230
Registrant City : rouen
Registrant State/Province  :
Registrant Postal Code : 76230
Registrant Country : FR

Mais d’après les pages jaunes, personne de ce nom à cette adresse.
Bon rien de vraiment interressant du côté malware. La justification du billet est ce qui suis, et ce qui m’a ennervé.

La résolution DNS de limtred1.no-ip.biz vers une IP SFR.

La confirmation de la tentative de connexion du malware vers une IP SFR :

Ce qui m’ennerve c’est que si on fait une recherche Google sur limtred1.no-ip.biz – on tombe sur : https://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/ et https://forum.malekal.com/microsoft-kb65465-exe-backdoor-poison-t22991.html (Janvier 2010) et aussi : http://www.jeuxvideo.com/forums/1-50-45770422-12-0-1-0-a-propos-de-minijeux-servegame.htm (mai 2010)

Suite au premier post, j’avais contacté l’abuse de SFR qui a ……. manifestement rien fait.
En gros, ça doit faire plus d’un an, que le forum jeuxvideo est pourri par ce gars.
A l’heure des DPI, d’Hadopi avec tout ce blabla contre le piratage (on parle pas du même… sic…)…. A l’heure de tout ce blabla, on voit qu’il est facile pour n’importe quelle neuneu de polluer les PC des autres.

Personnellement, je trouve cela inadmissible.
Une partie de la faute vient de l’internaute qui a le clic facile et ouvre n’importe quoi, certes…
Mais, il y a une grosse part de responsabilité de jeuxvideo.com qui a un forum non modéré, une vrai poubelle numérique… et SFR qui a, à priori, rien fait, suite à mon mail.

Alors je tire mon chapeau… et un gros bravo à ces services mastodontes qui font pas leur boulot.
De quoi promette encore de long mois de vols et compagnies à n’importe quelle neuneu bidouilleur.

En attendant, je vais me répéter pour la 3000000000e fois : N’ouvrez aucun fichier – quelque soit le motif – sur un site issu d’un commentaire d’un forum, facebook ou autres.
En cas de doute, soumettez le fichier à VirusTotal : http://www.virustotal.com
Ou envoyez le moi sur http://upload.malekal.com en me contactant (bouton contact en haut à droite). 

Print Friendly, PDF & Email
(Visité 149 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet