[hack] Generation-nt.com touché par Darkleech

Vu sur twitter par CyberProtect – generation-nt.com diffusant du contenu malicieux (277 FR sur Alexa.com).
Le contenu malicieux est encore diffusé au moment où sont écrites ces lignes.

GenerationNT_hacke

Un petit tour dessus et on obtient ceci :
GenerationNT_hacke2
La redirection vers l’exploit kit et la tentative d’exécution du dropper – la redirection se par la page http://static.generation-nt.com/js/main.js?v=08221600
GenerationNT_hacke3
puis l’exploit kit redirige vers http://netlinktrack.com/cgi-bin/CScash.cgi/301/46751:scheme17?page=land/ez03/?x_source=dPS46751.scheme17&page=land/ez03 afin de conduire à une publicité (y a pas de petit profit !)

GenerationNT_hacke5

GenerationNT_hacke6
GenerationNT_hacke4Au final donc :

http://static.generation-nt.com/js/main.js?v=08221600
http://e2pwyei9h4ct56hwqnj30rf.akaytel.com.tr/index.php?u=anM9MSZtZnFueXNhPXV0Z3FqemImdGltZT0xMzEwMjkxNDM4LTE1MDU0MjgwNyZzcmM9MTA2JnN1cmw9c3RhdGljLmdlbmVyYXRpb24tbnQuY29tJnNwb3J0PTgwJmtleT05QzVGRDU1MyZzdXJpPS9qcy9tYWluLmpzJTNmdj0wODIyMTYwMA== (178.21.9.5)
http://e2pwyei9h4ct56hwqnj30rf21064e1976b94820c50ff045990c3da3a.akaytel.com.tr/index2.php
http://in1aiko.webfreedo.org:8000/odjxrypxdm?hcyou=3896176 (212.83.147.150)
http://in1aiko.webfreedo.org:8000/iwnzvfck
http://in1aiko.webfreedo.org:8000/yxsysco
http://in1aiko.webfreedo.org:8000/META-INF/services/javax.xml.datatype.DatatypeFactory
http://xmi2o6mt6vd4ovsgrmmyzgp.abbywinterstube.com/adsort.php?x=1&aid=2&atr=exts&t=timeout (178.21.9.5)
http://xmi2o6mt6vd4ovsgrmmyzgp.abbywinterstube.com/adsort.php?aid=2&atr=exts
http://xmi2o6mt6vd4ovsgrmmyzgp.abbywinterstube.com/17/
http://netlinktrack.com/cgi-bin/CScash.cgi/301/46751:scheme17?page=land/ez03
/?x_source=dPS46751.scheme17&page=land/ez03

Sample : http://malwaredb.malekal.com/index.php?hash=e6204eb98543bcc90e68aa503113fa1b

La diffusion est de type DarkLeech.
Darkleech est un malware qui touche les systèmes Linux, il est sous forme de module sur Apache et permet la création d’iframe à la volée sur les sites WEB herbégés.
Il est possible de gérer le traffic (par exemple, ne toucher qu’une partie des victimes, dormir pendant quelques jours pour se réveiller à nouveau etc), ce qui peux rendre sa détection sur un site assez difficile.

Le malware droppé se fait passer pour un processus NVIDIA, il ajoute un service NVIDIA Update Server (NvUpdSrv) et s’installe dans %APPDATA/NVIDIA Corporation/Update/nvupd32.exe
Exemple de ligne HijackThis :

O23 – Service: NVIDIA Update Server (NvUpdSrv) – Unknown owner – C:/Documents and Settings/Mak/Local Settings/Application Data/NVIDIA Corporation/Update\nvupd32.exe

Exemple de détection au moment où sont écrites ces lignes : https://www.virustotal.com/fr/file/4a353bf7cd698d37a70ee26dc25ff4b7d1ec538e001aef4118babf93cecf521c/analysis/1383066325/

AhnLab-V3 Spyware/Win32.Zbot 20131029
Malwarebytes Trojan.Zbot.ST 20131029
McAfee PWSZbot-FJW!7D53978DE6A9 20131029
 

Zbot étant un malware de type stealer (vol de mots de passe, bancaire etc).

Vous pouvez tenter une désinfection par Malwarebytes Anti-Malware : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Une fois la désinfection effectuée, changez tous les mots de passe.

Si vous avez besoin d’aide, créez un sujet dans la partie Virus du forum : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

EDIT 2 Novembre

Situation maitrisée, GNT a isolé le serveur qui posait problème, hier ou avant-hier.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 59 times, 1 visits today)

One thought on “[hack] Generation-nt.com touché par Darkleech

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *