Lesinrocks.com compromis : Win32.Boaxxe

Aujourd’hui Gof a envoyé le tweet suivant : https://twitter.com/_Gof_/status/556124156119777280

LesInrocks_compromis_tweeter

Après quelques recherches, effectivement le site tente de charger le plugin Java et Silverlight :

LesInrocks_compromis

LesInrocks_compromis2

lesinrocks.com redirige vers mashtab.com (hosté en Ukraine) pour charger le Web Exploitkit. La redirection vers mashtab.com semble être côté serveur.
Le malware au final est Win32.Boaxxe : http://malwaredb.malekal.com/index.php?hash=b18c0b42b6032b64826016b6b978a586 qui est relativement présent, se reporter ce billet : [en] W32/Boaxxe by SWF Redirector

SHA256:8073a4f5e14e60d4676da9d914a0952474b7eb6b8cdf83f49bcf68a6c9191971
Nom du fichier :01421425408310 – Copy.exe
Ratio de détection :4 / 57
Date d’analyse :2015-01-16 17:10:10 UTC (il y a 1 minute)
AntivirusRésultatMise à jour
AvastWin32:Crypt-RRD [Trj]20150116
ESET-NOD32Win32/Boaxxe.BR20150116
NormanHeuristic_Anomaly.A20150116
PandaTrj/Genetic.gen20150116

LesInrocks_compromis_redirection

Ce n’est pas nouveau..

Début Décembre 2014, Kafeine a envoyé un email où je suis en copie aux inrocks pour les avertir, cette redirection malicieuse était déjà présente.

LesInrocks_compromis3

Dans l’échange de tweet, on notera celui de CyberProtect qui indique les avoir contactés en Avril et Septembre 2014 en pointant lien, une analyse malware-traffic-analysis.net de septembre : http://www.malware-traffic-analysis.net/2014/09/24/index2.html

LesInrocks_compromis_tweeter2

Le scan sucuri.net indique que le WordPress n’est pas à jour : http://sitecheck.sucuri.net/results/lesinrocks.com
(Bien que ça semble une histoire de branche 3.X et 4.X)

En attendant, je vais aussi les relancer (en sachant qu’ils sont en copie des tweets).

LesInrocks_compromis_sucuri_

 

Supprimer Win32.Boaxxe

Pour désinfecter votre, ordinateur, vous pouvez vous reporter à cette https://www.supprimer-virus.com/win32boaxxe/
Notez que ce malware peut installer Sathurbot.A

EDIT – Plus d’informations sur la source de la redirection

par ѠOOT : http://forum.malekal.com/cas-compromission-site-les-inrockuptibles-t50461.html

inrocks_00

 

EDIT – 19 Janvier 2015

Grâce aux informations ci-dessous, la redirection a été retirée.

EDIT – Ce n’est pas terminé…

Un nouveau tweet de CyberProtecthttps://twitter.com/Diaz__Daniel/status/558297865874079746

lesinrocks_episode2_tweet

La redirection est de retour :

lesinrocks_episode2

Le JS précédent semble correct, on voit que ce dernier a été modifié en Janvier 2014 :

lesinrocks_episode_js

A la fin, un eval qui ressemble beaucoup au précédent :

lesinrocks_episode_js_suiteDécode on obient, le même genre de script pour générer la redirection, avec l’URL en base64 : http://pjjoint.malekal.com/files.php?read=20150122_y12i11c14o9h5

lesinrocks_episode_js_suite_beautiful

J’ai notifié la boîte pour faire corriger le script, en espérant qu’il n’y en ait pas d’autres ….

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 20 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *