Hack WordPress : Trojan.Win32.Jorik.Skor

Trojan.Win32.Jorik.Skor (le nom est de Kaspersky et est relativement récent) est un malware qui sévit depuis quelques années – voir :  msa.exe b.exe et sshnas.dll : Trojan.Renos/Trojan.FakeAlert
Dernièrement l’infection plantait en autre les widgets de Windows Vista/Seven, voir la page : sshnas.dll et erreur Activex / widgets

Cette infection se propage via de faux sites de cracks/keygens et des pages de faux codecs.

A l’heure où ces écritures ces lignes, quelques sites utilisant WordPress sont hackés pour ajouter de fausses pages pornographiques et des faux codecs.

 

Les pages des faux codecs se trouvent dans wp-themes :

Les pages uploadés sont des le contenu d’un site de type « Tube » avec des catégories de vidéos etc.
En bas des pages se trouvent des keywords qui seront indexés par les moteurs de recherche en bénéficiant du ranking du site hacké.
On retrouvera alors les sites en tapant les keywords dans les résultats de recherche.

La page de proposition de téléchargement du faux codec, lorsque l’on clic sur une vidéo.

Les pages de téléchargement pointent vers un fichier boom.php qui pointe vers un rotator puis la page de téléchargement du fichier malicieux.

37    200    HTTP    www.marken-kaufhaus.de    /wp-themes/boom/boom.php    604        text/html; charset=Windows-1251    iexplore:3804
38    404    HTTP    www.marken-kaufhaus.de    /wp-themes/boom/[SITE]/images/style2.css    1 349    Expires: Sun, 03 Apr 2011 14:28:43 GMT    text/html; charset=iso-8859-1    iexplore:3804
39    302    HTTP    pizdosiya.in    /mega/go.php?sid=5    0        text/html; charset=Windows-1251    iexplore:3804
40    302    HTTP    pizdosiya.in    /mega/go.php?sid=1    0        text/html; charset=Windows-1251    iexplore:3804
41    302    HTTP    boloz.com    /images/posters/img/kp.php    0        text/html; charset=Windows-1251    iexplore:3804
42    200    HTTP    boloz.com    /images/posters/img/flash-plagin.40052.exe    79 872        application/x-msdownload    iexplore:3804

Conclusion, pensez à maintenir WordPress et vos plugins à jour, afin d’éviter le hack de votre site.

La détection du fichier :

http://www.virustotal.com/file-scan/report.html?id=3565c19a76ac9447795150858202a144b3e6d120617bbe6ca17d21cb45350089-1301840658

File name: flash-plagin.40052.exe
Submission date: 2011-04-03 14:24:18 (UTC)
Current status: queued queued (#5) analysing finished
Result: 15/ 41 (36.6%)
VT Community

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.04.03.02 2011.04.03 –
AntiVir 7.11.5.168 2011.04.01 –
Antiy-AVL 2.0.3.7 2011.04.03 –
Avast 4.8.1351.0 2011.04.03 Win32:Rootkit-gen
Avast5 5.0.677.0 2011.04.03 Win32:Rootkit-gen
BitDefender 7.2 2011.04.03 Trojan.Generic.KD.176288
CAT-QuickHeal 11.00 2011.04.03 –
ClamAV 0.97.0.0 2011.04.03 –
Commtouch 5.2.11.5 2011.03.24 –
Comodo 8204 2011.04.03 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2011.04.03 Trojan.DownLoader2.27170
Emsisoft 5.1.0.5 2011.04.03 –
eSafe 7.0.17.0 2011.04.01 –
eTrust-Vet 36.1.8248 2011.04.01 –
F-Prot 4.6.2.117 2011.04.02 –
F-Secure 9.0.16440.0 2011.04.02 –
Fortinet 4.2.254.0 2011.04.02 –
GData 22 2011.04.03 Trojan.Generic.KD.176288
Ikarus T3.1.1.103.0 2011.04.03 –
Jiangmin 13.0.900 2011.03.31 –
K7AntiVirus 9.96.4285 2011.04.03 –
Kaspersky 7.0.0.125 2011.04.03 Trojan.Win32.Jorik.Skor.pg
McAfee 5.400.0.1158 2011.04.03 –
McAfee-GW-Edition 2010.1C 2011.04.03 –
Microsoft 1.6702 2011.04.03 –
NOD32 6011 2011.04.03 Win32/TrojanDownloader.FakeAlert.BBT
Norman 6.07.03 2011.04.02 –
Panda 10.0.3.5 2011.04.03 Suspicious file
PCTools 7.0.3.5 2011.04.01 –
Prevx 3.0 2011.04.03 Medium Risk Malware Dropper
Rising 23.51.05.05 2011.04.02 –
Sophos 4.64.0 2011.04.03 Mal/FakeAV-IV
SUPERAntiSpyware 4.40.0.1006 2011.04.03 –
Symantec 20101.3.2.89 2011.04.03 Trojan.Gen
TheHacker 6.7.0.1.164 2011.04.02 –
TrendMicro 9.200.0.1012 2011.04.03 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.04.03 PAK_Generic.001
VBA32 3.12.14.3 2011.04.01 –
VIPRE 8906 2011.04.03 virtool.win32.obfuscator.da!e (v)
ViRobot 2011.4.2.4390 2011.04.03 –
VirusBuster 13.6.285.0 2011.04.03 –
Additional informationShow all
MD5   : ab4fd0017fadc8ab2b38e2c805d2f1a8
SHA1  : ef938c260975fd4bda8df0eb0ce943af327482c6
SHA256: 3565c19a76ac9447795150858202a144b3e6d120617bbe6ca17d21cb45350089

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 31 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *