Kbot via malvertising

Clicksor et adf.ly toujours aussi actives pour distribuer des malwares via des malvertising :
Weelsof :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=266688&sid=431347&zone=-1&image=3&adtype=1&key=7153049a6bca305ef0337733d6e86abf
http://farmfrenzyforwindows.com/ads/ads728.html
http://strangogo.com/counter/200/cmp/17/stats.html
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330fd3a01cd214e0b56ceM1,6,0,17M7,0,0,0
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/fAAoiter.jar
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/fAAoiter.jar
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/SecretKey.class
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/SecretKey.class
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/48492345/dAAocum.pdf
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/4144768/1594938


Divers Exploits Kit via des TDS : Weelsof et Epubb.

et aussi depuis quelques jours un bot via un BlackHole ExploitKit :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=266688&sid=431347&zone=-1&image=3&adtype=1&key=a38a8e476dd80c92a56729be57df4d30
http://farmfrenzyforwindows.com/ads/ads728.html
http://strangogo.com/counter/200/cmp/17/stats.html
http://jc.sarah-coquine.com/stats/posts/ways_uniform.php
http://jc.sarah-coquine.com/stats/posts/ways_uniform.php?ray=0804023606&zbonasq=3e&cweqcs=3605350b3606090b050b&jwzxix=09000200020002

qui va aussi par adf.ly :

http://adf.ly/BYO9n
http://adf.ly/3market.php?c=2&cb=3m&t=98ffdbf665203cd6f3b27ff79c197f0f&d=757569
http://street.allo-hosting.org/ (91.234.104.94)
http://www.hdfree.com.br/css/style.css
http://twitter.com/javascripts/blogger.js
http://twitter.com/statuses/user_timeline/hostdimebr.json?callback=twitterCallback2&count=5
http://jc.sarah-coquine.com/stats/posts/ways_uniform.php (178.33.231.185)
http://adf.ly/callback/98ffdbf665203cd6f3b27ff79c197f0f
http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/15.0.1/update/win32/fr/firefox-15.0.1.complete.mar
http://adf.ly/callback/98ffdbf665203cd6f3b27ff79c197f0f

 

https://www.virustotal.com/file/413e2564220e30570dd9476ee3f0f0a6b9660a8007ff319a379d072c6976daa1/analysis/1349723342/
SHA256: 413e2564220e30570dd9476ee3f0f0a6b9660a8007ff319a379d072c6976daa1
File name: wgsdgsdgdsgsd.exe
Detection ratio: 3 / 44
Analysis date: 2012-10-08 19:09:02 UTC ( 1 heure, 11 minutes ago )

AVG SHeur4.ARBJ 20121008
Comodo Heur.Suspicious 20121008
DrWeb Trojan.DownLoader7.2706 20121008

Le bot ajoute les clefs et fichiers suivants :

O4 – HKCU\..\Run: [Document Explorer] C:/Documents and Settings/Mak/Documents/explorer.exe
O4 – HKCU\..\Run: [Download Manager] C:/Documents and Settings/Mak/Downloads/explorer.exe

Ils effectuent les connexions suivantes :

TCP_MISS/302 373 GET http://purenet.hopto.org/ – DIRECT/8.23.224.90 text/html
TCP_HIT/200 637329 GET http://radiovibemusic.com/rss/bsrecovery.exe – NONE/- application/octet-stream
TCP_MISS/200 489 GET http://94.23.6.186/kb/gate.php – DIRECT/94.23.6.186 text/html
TCP_HIT/200 162040 GET http://radiovibemusic.com/rss/ad123.exe – NONE/- application/octet-stream
TCP_MISS/200 449 GET http://94.23.6.186/kb/gate.php – DIRECT/94.23.6.186 text/html

purenet.hop.org fait office de redirecteur.

Ils téléchargent d’autres malwares comme par exemple ici, un Andromeda/Gamarue/SmokeBot pour voler des informations.
Ce dernier est actuellement bien détecté : https://www.virustotal.com/file/d90e612d188c9a21cad3cf6ff36d9066747756dec58c252e46cce5c485ad03fe/analysis/

SHA256: d90e612d188c9a21cad3cf6ff36d9066747756dec58c252e46cce5c485ad03fe
File name: ad123.exe
Detection ratio: 15 / 44
Analysis date: 2012-10-08 19:30:17 UTC ( 41 minutes ago )

AhnLab-V3 ASD.Prevention 20121008
Avast Win32:Dropper-gen [Drp] 20121008
Comodo UnclassifiedMalware 20121008
DrWeb BackDoor.Andromeda.22 20121008
ESET-NOD32 a variant of Win32/Injector.XLC 20121008
Fortinet W32/Andromeda.OF!tr.dldr 20121008
GData Trojan.Agent.AWYU 20121008
Ikarus Trojan-Downloader.Win32.Andromeda 20121008
Kaspersky Trojan-Downloader.Win32.Andromeda.of 20121008
Kingsoft Win32.Malware.Generic.a.(kcloud) 20121008
Microsoft Worm:Win32/Gamarue.I 20121008
Norman W32/Suspicious_Gen5.HQKF 20121008
Panda Suspicious file 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot Trojan.Win32.A.Downloader.161640.A 20121008

 

Il y a quelques jours, le nombre de Bots étaient d’environ 450 :

Aujourd’hui, environ 2000 :

 EDIT – Novembre 2012

Hack d’Uptobox pour balancer le malware => http://www.malekal.com/2012/11/28/en-uptobox-hacked

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 6 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *