Malvertising adf.ly => Ransomware Sacem / Police Nationale

Le ransomware Virus Sacem se propage par une malvertising sur adf.ly
adf.ly est beaucoup utilisé comme redirection de lien en affichant au préalable une publicité.
Toujours donc le même schéma à travers la régie de publicité, les auteurs de malware chargent des exploits sur site WEB pour installer les infections.
La malvertising sur clicksor étant toujours en ligne au moment où ces lignes sont écrites : http://www.malekal.com/2012/02/18/malvertising-clicksor-toujours-en-ligne-internet-security-et-zeroaccess/

adf.ly est pas mal utilisé, cela peux toucher beaucoup d’internautes.

La publicité adf.ly charge une iframe vers easyonlinebuxxx.com (178.162.160.105)


Un 302 moved redirige vers l’ExploitKit BlackHole

le referer référence bien adf.ly :

adf.ly avec le Pleawe wait page is loading…. typique des BlackHole

et le ransomware Sacem s’installe :

malvertising adf.ly => Ransomware Sacem

Si vous avez été infecté :

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet : Sécuriser Firefox

 EDIT 3 MAI 2012

Une autre malvertising vu là : http://forum.malekal.com/virus-sacem-police-nationale-t37685.html#p293354

En allant sur minecraft-france.fr

La malvertising se lance…

et le dropper :

http://adf.ly/1849S
http://adf.ly/css/adfly_1.css
http://www.google-analytics.com/ga.js
http://adf.ly/1market.php?cb=3m&t=be251c35d3555eeccb2693b291572a0a&d=872806
http://adf.ly/omnigy7425325409.swf
http://rezeptautomat.com/ (188.72.250.234)
http://pampa01.com/main.php?page=d73d9795c56f8f33 (195.208.185.99)
http://pampa01.com/data/ap1.php?f=5e91c
http://pampa01.com/data/hhcp.php?c=5e91c
http://pampa01.com/Edu.jar
http://pampa01.com/w.php?f=5e91c&e=3
http://pampa01.com/w.php?f=5e91c&e=0
http://adf.ly/callback/be251c35d3555eeccb2693b291572a0a
http://adf.ly/callback/be251c35d3555eeccb2693b291572a0a

 

http://www3.malekal.com/malwares/index.php?hash=fd3f7aaef6b290ac4c1d6ebcb36209c9
https://www.virustotal.com/file/f9966fdd3fbf5b45db26ee813c243db9c2257d2ebe0cd5724574981a3e70f49d/analysis/

SHA256: f9966fdd3fbf5b45db26ee813c243db9c2257d2ebe0cd5724574981a3e70f49d
File name: file-3890730_exe
Detection ratio: 4 / 42
Analysis date: 2012-05-03 16:10:35 UTC ( 47 minutes ago )

Kaspersky HEUR:Trojan.Win32.Generic 20120503
McAfee - 20120503
Microsoft VirTool:Win32/Obfuscator.XT 20120503
Sophos Troj/Zbot-BTY 20120503
Symantec WS.Reputation.1 20120503

 

rezeptautomat.com sert de redirector

EDIT 2 Juin

Nouvelle malvertising :

http://adf.ly/1495808/http://mir.cr/6TE3PKL6
http://adf.ly/css/adfly_1.css
http://adf.ly/1market.php?cb=3m&t=aef2a6bedec74c404e430a589e586eb2&d=586572
http://adf.ly/omnigy7425325410.swf
http://limlex.tk/
http://95.163.104.80/index_sp1.php
http://sadfgsf.co.cc/main.php
http://adf.ly/callback/aef2a6bedec74c404e430a589e586eb2
http://sadfgsf.co.cc/data/ap1.php?f=d4fc7
http://sadfgsf.co.cc/data/hhcp.php?c=d4fc7
http://sadfgsf.co.cc/data/ap1.php?f=d4fc7
http://sadfgsf.co.cc/data/ap1.php?f=d4fc7
http://sadfgsf.co.cc/Set.jar
http://sadfgsf.co.cc/w.php?f=d4fc7&e=3
http://sadfgsf.co.cc/w.php?f=d4fc7&e=0$

=> http://www3.malekal.com/malwares/index.php?hash=a7768f4973ad7cf8217212a4d12dbae0

Ceci donne une nouvelle variante du Virus Sacem – voir le edit du 2 juin : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

EDIT 8 Juin

Suite à mon précédent post, la malvertising avait retirée ou du moins elle n’était plus active.
La voici de retour :

http://adf.ly/css/adfly_1.css
http://adf.ly/1market.php?cb=3m&t=4459df51bd803c742be5ef5aad8fef9a&d=889967
http://adf.ly/omnigy7425325410.swf
http://jambaleo.in/ (193.107.17.170)
http://weddingplaner.co.uk/main.php
http://weddingplaner.co.uk/data/ap1.php?f=96ece
http://weddingplaner.co.uk/data/hhcp.php?c=96ece
http://weddingplaner.co.uk/Set.jar
http://adf.ly/callback/4459df51bd803c742be5ef5aad8fef9a
http://weddingplaner.co.uk/w.php?f=96ece&e=0

Toujours un dropper du Virus Sacem : http://www3.malekal.com/malwares/index.php?hash=941d0697b844414be106b7a397d31fd6 

 

EDIT 12 Juin

pour signaler d’autres URLs  à blacklister toujours sur 193.107.17.170

http://adf.ly/7OWg0
http://adf.ly/css/adfly_1.css
http://adf.ly/1market.php?cb=3m&t=06d07808cdbe3e69667fe1a64718b238&d=75687
http://adf.ly/omnigy7425325410.swf
http://lnkshtr.in/ (199.59.166.86)
http://193.107.17.170/lnkshtr/
http://bus.maisquemenos.com/main.php?page=b1d947bfe0df592f
http://bus.maisquemenos.com/data/ap1.php?f=c2567
http://bus.maisquemenos.com/data/hhcp.php?c=c2567
http://bus.maisquemenos.com/Set.jar
http://adf.ly/callback/06d07808cdbe3e69667fe1a64718b238
http://bus.maisquemenos.com/w.php?f=c2567&e=3
http://bus.maisquemenos.com/w.php?f=c2567&e=0

=> http://www3.malekal.com/malwares/index.php?hash=d824d8a01ad754d74f5f88743172166d

whois de lnkshtr.in :

Last Updated On:06-Jun-2012 16:00:00 UTC
Expiration Date:06-Jun-2013 15:59:58 UTC

Admin ID:05db0238e9ccea19
Admin Name:Manuela Forster
Admin Organization:
Admin Street1:Friederike-Nadig-Str. 31
Admin Street2:
Admin Street3:
Admin City:Berlin
Admin State/Province:Berlin
Admin Postal Code:12355
Admin Country:DE
Admin Phone:+49.161847445
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:gormerik11@googlemail.com

mais aussi :

http://hotelvergleich.in/ (193.107.17.170)
http://buddy.holdaslas.so/main.php
http://buddy.holdaslas.so/data/ap1.php?f=cf234
http://buddy.holdaslas.so/data/hhcp.php?c=cf234
http://buddy.holdaslas.so/Set.jar
http://buddy.holdaslas.so/w.php?f=cf234&e=0

=> http://www3.malekal.com/malwares/index.php?hash=d68dda9d50ec5f965948e8b2d9ad17b9

EDIT 27 Juin

Back toujours sur 193.107.17.170.

http://adf.ly/7OWg0
http://adf.ly/css/adfly_1.css
http://www.google-analytics.com/ga.js
http://adf.ly/1market.php?cb=3m&t=8fc31388b8ec7f6f3929176e09f75548&d=400879
http://adf.ly/omnigy7425325410.swf
http://fussballmannschaft-eisfeld.de/ (193.107.17.170)
http://trusted-shop.in/main.php (95.172.154.96)
http://fpdownload2.macromedia.com/get/flashplayer/update/current/xml/version_fr_win_pl.xml
http://trusted-shop.in/data/ap1.php?f=c5826
http://trusted-shop.in/data/hhcp.php?c=c5826
http://trusted-shop.in/Ruben.jar
http://adf.ly/callback/8fc31388b8ec7f6f3929176e09f75548
http://trusted-shop.in/w.php?f=c5826&e=3
http://trusted-shop.in/w.php?f=c5826&e=0
http://adf.ly/callback/8fc31388b8ec7f6f3929176e09f75548

EDIT 8 Juillet

back :

http://adf.ly/7OWg0
http://cdn.adf.ly/css/adfly_1.css
http://cdn.adf.ly/js/adfly.js
http://adf.ly/1market.php?cb=3m&t=09b712fabd2fd16e0aa0809adb7ebf18&d=982345
http://adf.ly/omnigy7425325410.swf
http://musiktage-oberaudorf.de/ (83.136.86.21)
http://audi-jobs.info/main.php (98.124.199.1)
http://www.audi-jobs.info/main.php
http://www.audi-jobs.info/data/ap1.php?f=cf234
http://www.audi-jobs.info/data/ap1.php?f=cf234
http://www.audi-jobs.info/data/ap1.php?f=cf234
http://www.audi-jobs.info/Setl.jar
http://adf.ly/callback/09b712fabd2fd16e0aa0809adb7ebf18
http://www.audi-jobs.info/w.php?f=cf234&e=3
http://www.audi-jobs.info/w.php?f=cf234&e=0

http://www3.malekal.com/malwares/index.php?hash=f74e910c368717e9acef3a1b9a1a9f03

https://www.virustotal.com/file/8405bddc1184af5c5a3b941f3cb84950fcf6cb89d8e897f21209bf57b4defffb/analysis/

 

SHA256: 8405bddc1184af5c5a3b941f3cb84950fcf6cb89d8e897f21209bf57b4defffb
File name: f74e910c368717e9acef3a1b9a1a9f03
Detection ratio: 10 / 42
Analysis date: 2012-07-08 08:19:58 UTC ( 3 minutes ago )
AVG Generic6_c.JHG 20120708
Comodo Heur.Suspicious 20120708
Jiangmin Worm/Sohanad.aim 20120708
Kaspersky UDS:DangerousObject.Multi.Generic 20120708
Microsoft Trojan:AutoIt/Ransom.F 20120708
NOD32 Win32/LockScreen.ALJ 20120707
Panda Suspicious file 20120707
TheHacker Trojan/Autoit.nki 20120708
VIPRE Trojan.Win32.Generic!BT 20120708
ViRobot Trojan.Win32.A.Refroso.513377[UPX] 20120707

 EDIT – 01 aout

http://adf.ly/BPEoY
http://adf.ly/2market.php?cb=3m&t=074f0e9ba18d28545cb0339c69166044&d=741333
http://dein-karrierestart.info/ (81.30.152.85)
http://julianebtrenko.info:8787/zSsdxc?hgRah=18
http://julianebtrenko.info:8787/24
http://julianebtrenko.info:8787/24
http://julianebtrenko.info:8787/RWsOSJ?expid=12&fid=25
http://adf.ly/callback/074f0e9ba18d28545cb0339c69166044

=> http://www3.malekal.com/malwares/index.php?hash=e99980123a937a273fe0f9e0d7f1c291

 

EDIT – 6 Aout

Une autre malvertising active :

http://adf.ly/2lN2l
http://adf.ly/3market.php?cb=3m&t=01bb2052c306d1964415521a8fe5a12e&d=258942
http://free-dre-beats.com/ (108.175.8.54)
http://xc.beatnhac.net/gaqwhw3dg.php
http://tinyurl.com/faceboshark
http://fileice.net/download.php?t=regular&file=q4gp
http://fileice.net/css/reset.css
http://fileice.net/css/framestyle.css
http://fileice.net/css/tooltip.css
http://fileice.net/js/tooltip.js
http://fileice.net/js/jquery.js
http://fileice.net/js/jquery.cycle.all.min.js
http://fileice.net/js/global.js
http://fileice.net/js/cufon-yui.js
http://fileice.net/js/myradpro.font.js
http://xc.beatnhac.net/data/ap1.php?f=c6300
http://xc.beatnhac.net/Kaz.jar
http://xc.beatnhac.net/f.php?f=c6300&e=0

 

Domain Name: FREE-DRE-BEATS.COM
Updated Date: 25-apr-2012
Creation Date: 25-apr-2012
Expiration Date: 25-apr-2013

Registrant:
mp dombrowski
1527 rue des paradis du bourg
quebec, Quebec g2l1j8
Canada

 

Les malwares sur le BlackHole sont des nrgbot :  http://www3.malekal.com/malwares/index.php?domaine=184.82.61.122

EDIT 8 Août – Back to Sacem

http://adf.ly/3market.php?cb=3m&t=a6931bd3d9a2a15c61cf6042de8049c6&d=85847
http://adf.ly/omnigy7425325410.swf
http://team-hardcore-emsland.de/ (83.136.86.21) – Même IP que le 8 Juillet
http://team-hardcore-emsland.de/
http://aylaoeztuerk.info:8584/BDWHCx?AqseX=48
http://aylaoeztuerk.info:8584/27
http://aylaoeztuerk.info:8584/27
http://sofialorena.info:8584/ZKpwaN?expid=13&fid=26

=> http://www3.malekal.com/malwares/index.php?hash=750fdc0f40e4bac1074035c4f5a5bedd 
TCP_MISS/302 348 GET http://95.163.104.82/aff14/start.php – DIRECT/95.163.104.82 text/html
TCP_MISS/200 1044 GET http://95.163.104.82/aff14/pay/iframe_FR.php – DIRECT/95.163.104.82 text/html
TCP_MISS/200 4171 GET http://95.163.104.82/aff14/pay/index_FR.php – DIRECT/95.163.104.82 text/html
TCP_MISS/404 847 GET http://95.163.104.82/aff14/pay/fresh_buttons/buttons.css – DIRECT/95.163.104.82 text/html
TCP_MISS/404 847 GET http://95.163.104.82/aff14/pay/js/keyboard.js – DIRECT/95.163.104.82 text/html

 

J’en profite pour signaler que vous avez d’autres campagnes malicieuses à cette adresse : http://www.malekal.com/2012/07/28/quelques-campagnes-de-malvertising/

EDIT 18 Août

Réactivé depuis hier.

http://adf.ly/2lN5J
http://adf.ly/3market.php?cb=3m&t=2aa75a779a158d33ce8e5d462bb41f49&d=668178
http://itstangerine.com/ – 62.141.42.108
http://mireatella.info:8686/vggeXv?ItZKj=29 – 173.212.222.188
http://mireatella.info:8686/265
http://mireatella.info:8686/27
http://mireatella.info:8686/27
http://adf.ly/callback/2aa75a779a158d33ce8e5d462bb41f49
http://mireatella.info:8686/OzBvWr?expid=13&fid=26
http://adf.ly/callback/2aa75a779a158d33ce8e5d462bb41f49

Domain Name: ITSTANGERINE.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS63.DOMAINCONTROL.COM
Name Server: NS64.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 09-dec-2011
Creation Date: 28-jan-2011
Expiration Date: 28-jan-2013

Registrant:
david gardner
44 moreton drive
staining
blackpool, lancashire fy30dr
United Kingdom

 


Petit différence par rapport à avant, cette fois on a un fichier go.exe qui droppe le payload Application Data1.exe – ça fait un peu noob…
go.exe est à 5 sur VT : https://www.virustotal.com/file/010b586df6263a10b2e5f41d0958a47a1f9016309dfac5c1b0c796514b0df829/analysis/1345312410/

=> http://www3.malekal.com/malwares/index.php?hash=96391e71ad9e330c281df41c55ec36cc 

SHA256: 010b586df6263a10b2e5f41d0958a47a1f9016309dfac5c1b0c796514b0df829
File name: go.exe
Detection ratio: 5 / 41
Analysis date: 2012-08-18 17:53:30 UTC ( 0 minute ago )

 EDIT 30 Août

http://adf.ly/2lN5J
http://adf.ly/3market.php?c=2&cb=3m&t=dc5067f220b66cc159f2c00c18ce8752&d=214605
http://adf.ly/omnigy7425325410.swf
http://www.facebook.com/ajax/photos/logging/everstore_logging.php
http://etechtricks.com/ – 88.198.25.9
http://haxopulco.info:8284/UDZsFG?YXTCm=35
http://haxopulco.info:8284/265
http://de.tynt.com/deb/v2?id=w!cb6ftnwbhgw3&r=
http://haxopulco.info:8284/27
http://haxopulco.info:8284/27
http://adf.ly/callback/dc5067f220b66cc159f2c00c18ce8752
http://haxopulco.info:8284/iIdIaWC.lll <= 404 :'( – enfin c’est bien pour les internautes mais pas cool pour moi ouin !

Domain Name: ETECHTRICKS.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS55.DOMAINCONTROL.COM
Name Server: NS56.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 02-feb-2012
Creation Date: 28-nov-2011
Expiration Date: 28-nov-2014

Edit 1er Septembre

http://adf.ly/BYOG2
http://adf.ly/3market.php?c=2&cb=3m&t=d6288268d8dc44a8bfeba46de1fa7871&d=358019
http://adf.ly/omnigy7425325410.swf
http://fantastictwitfollowers.com/ 81.30.152.85  – Detection ratio:   0 / 30 https://www.virustotal.com/url/7b8fdfb70424b87478ce54ad40ef5b5575e223be5154960c5a35a6b74a201ba6/analysis/1346512744/
http://membercitycouncil.info:8284/UDZsFG?YXTCm=35
http://fantastictwitfollowers.com/ajax.microsoft.com/ajax/jquery.validate/1.7/jquery.validate.pack97e1.js?ver=1.7
http://membercitycouncil.info:8284/265
http://membercitycouncil.info:8284/27
http://adf.ly/callback/d6288268d8dc44a8bfeba46de1fa7871
http://membercitycouncil.info:8284/27
http://hometownfaraway.info:8284/fzLOxw?expid=13&fid=26

 

https://www.virustotal.com/file/f47957305dc6b6a62234fa5611ccd6de70f5786913c8125a9ded5b375b20cf2d/analysis/

SHA256: f47957305dc6b6a62234fa5611ccd6de70f5786913c8125a9ded5b375b20cf2d
File name: 0974369585b22f28aa524ebbcf1c7564
Detection ratio: 7 / 40
Analysis date: 2012-09-01 15:10:50 UTC ( 8 minutes ago )

 

81.30.152.85 <= même IP que précédemment.

 

Domain Name: FANTASTICTWITFOLLOWERS.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS19.DOMAINCONTROL.COMName Server: NS20.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 01-sep-2012
Creation Date: 24-jul-2012
Expiration Date: 24-jul-2013

Registrant:
Flipping Decade
Blok 7-06-03, Lengkok Angsana,
Taman Sri Impian,
Ayer Itam,, Penang 11500
Malaysia

 EDIT – 13 septembre

http://adf.ly/BYO9s
http://adf.ly/3market.php?c=2&cb=3m&t=b2a244927b48dcc33cf2835f65f579e8&d=460114
http://www.parazul.com (81.30.158.92) –  Detection ratio: 0 / 30  https://www.virustotal.com/url/e98df8c2692bcc0b408044294e9400cd448f4a1d261dbd2c6d0b60d455d95c1d/analysis/
http://keinraten.info:8582/lslxUi?ObWyg=69
http://keinraten.info:8582/265
http://keinraten.info:8582/27
http://keinraten.info:8582/27
http://keinraten.info:8582/iVzgRBzV.class
http://keinraten.info:8582/iVzgRBzV/class.class

Domain Name: PARAZUL.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS21.DOMAINCONTROL.COM
Name Server: NS22.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 13-sep-2012
Creation Date: 03-oct-2007
Expiration Date: 03-oct-2013

Administrative Contact:
Admin, Domain domainadmin@onboard.com
OnBoard Media Inc.
1691 Michigan Ave
Ste 600
Miami Beach, Florida 33139
United States
3056730400

 

et :

http://adf.ly/BYO9s
http://adf.ly/3market.php?c=2&cb=3m&t=4fc41c482aa64f793e7ab4cfff7a8c30&d=693880
http://www.dentalbeautycenter.com/ – 81.30.158.97 – Detection ratio: 0 / 30 https://www.virustotal.com/url/17b75a82212b89c0ddae78c6db6b6ecaf91f498c62d2dd32ab43afd9b26645f8/analysis/
http://www.dentalbeautycenter.com/wp-content/themes/socrates/style.css
http://www.dentalbeautycenter.com/wp-content/themes/socrates/css/styleRightSide300.css
http://www.dentalbeautycenter.com/wp-content/plugins/captcha/css/styleccfb.css?ver=3.4.2
http://www.dentalbeautycenter.com/wp-content/plugins/contact-form-plugin/css/styleccfb.css?ver=3.4.2
http://www.dentalbeautycenter.nl/wp-includes/js/jquery/jquery.js?ver=1.7.2
http://www.dentalbeautycenter.com/ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js
http://www.dentalbeautycenter.com/wp-content/themes/socrates/scripts/myStuff.js
http://www.dentalbeautycenter.com/wp-content/themes/socrates/scripts/supersleight.plugin.js
http://www.google.nl/coop/cse/brand?form=cse-search-box&lang=nl
http://www.dentalbeautycenter.nl/wp-includes/js/comment-reply.js?ver=3.4.2
http://www.dentalbeautycenter.com/ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js
http://chiptangenerator.us:8582/lslxUi?ObWyg=69
http://chiptangenerator.us:8582/265
http://chiptangenerator.us:8582/27
http://www.dentalbeautycenter.com/werkwijze/index.html
http://chiptangenerator.us:8582/27
http://adf.ly/callback/4fc41c482aa64f793e7ab4cfff7a8c30
http://chiptangenerator.us:8582/fATSCG?hJHh=13&mnSD=26

Domain Name: DENTALBEAUTYCENTER.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS21.DOMAINCONTROL.COM
Name Server: NS22.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 11-sep-2012
Creation Date: 21-sep-2000
Expiration Date: 21-sep-2013

Registrant:
Tandartspraktijk Tillmans
Churchilllaan 57
Maastricht, 6226 CT
Netherlands

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: DENTALBEAUTYCENTER.COM
Created on: 21-Sep-00
Expires on: 21-Sep-13
Last Updated on: 11-Sep-12

https://www.virustotal.com/file/c51b5270b240ec2e98b412b5183ac66ec1e0ea9d3988a3428f7a092cc75e74bf/analysis/1347539828/

SHA256: c51b5270b240ec2e98b412b5183ac66ec1e0ea9d3988a3428f7a092cc75e74bf
File name: fATSCG.exe
Detection ratio: 5 / 40
Analysis date: 2012-09-13 12:37:08 UTC ( 1 minute ago )

Antiy-AVL Trojan/Win32.Autoit.gen 20120911
ESET-NOD32 a variant of Win32/LockScreen.AML 20120911
Jiangmin Worm/Sohanad.aim 20120911
TheHacker Trojan/Autoit.nki 20120910
ViRobot Trojan.Win32.A.Refroso.513377[UPX] 20120911

EDIT 14 septembre

http://adf.ly/3market.php?c=2&cb=3m&t=9ac7f589472f3f66a3048397bb404451&d=187525
http://adf.ly/omnigy7425325410.swf
http://doloresmonte.com/ 62.75.158.91 –  Detection ratio: 0 / 30 https://www.virustotal.com/url/a7f23be8ae9667a98d358d8b3066a018f9282884bf4cd558b50d100768264dfe/analysis/
http://sanktpauli.us:8582/lslxUi?ObWyg=69
http://sanktpauli.us:8582/265
http://sanktpauli.us:8582/27
http://sanktpauli.us:8582/27
http://sanktpauli.us:8582/fATSCG?hJHh=13&mnSD=26
http://adf.ly/callback/9ac7f589472f3f66a3048397bb404451
Domain Name: DOLORESMONTE.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS01.DOMAINCONTROL.COM
Name Server: NS02.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 21-oct-2010
Creation Date: 05-sep-2003
Expiration Date: 05-sep-2014

Administrative Contact:
Monte, Dolores dolores@doloresmonte.com
doloresmonte
689 85th Street
Brooklyn, New York 11228-3214
United States
+1.7187452082

On obtient le meme PE que précédement, la détection est portée à 8 sur VirusTotal.

SHA256: c51b5270b240ec2e98b412b5183ac66ec1e0ea9d3988a3428f7a092cc75e74bf
File name: 1.exe
Detection ratio: 8 / 42
Analysis date: 2012-09-13 20:47:44 UTC ( 10 heures, 24 minutes ago )

Antiy-AVL Trojan/Win32.Autoit.gen 20120911
DrWeb Trojan.AVKill.22744 20120913
ESET-NOD32 a variant of Win32/LockScreen.AML 20120913
Jiangmin Worm/Sohanad.aim 20120913
Kaspersky UDS:DangerousObject.Multi.Generic 20120913
TheHacker Trojan/Autoit.nki 20120911
TrendMicro-HouseCall TROJ_GEN.F47V0913 20120913
ViRobot Trojan.Win32.A.Refroso.513377[UPX] 20120913

EDIT 18 septembre

Toujours en ligne :

http://adf.ly/BYOG2
http://adf.ly/3market.php?c=2&cb=3m&t=3812f0e4738cfbac21add92250feb9cb&d=330886
http://adf.ly/omnigy7425325410.swf
http://bau.korfmann.de/ (81.30.158.97) –
http://timoschenko.us:9799/MnZCCC?RXmWK=36
http://timoschenko.us:9799/12651
http://timoschenko.us:9799/1271
http://timoschenko.us:9799/1271
http://timoschenko.us:9799/sMaWxs?nHjs=13&jsHq=1261
http://adf.ly/callback/3812f0e4738cfbac21add92250feb9cb

 

Domain: korfmann.de
Nserver: ns65.1und1.de
Nserver: ns66.1und1.de
Status: connect
Changed: 2009-08-15T04:08:35+02:00

[Tech-C]
Type: ROLE
Name: Hostmaster EINSUNDEINS
Organisation: 1&1 Internet AG
Address: Brauerstr. 48
PostalCode: 76135
City: Karlsruhe
CountryCode: DE
Phone: +49.721913747660
Fax: +49.72191374246
Email: hostmaster@1und1.de
Changed: 2009-04-24T16:52:08+02:00

[Zone-C]
Type: ROLE
Name: Hostmaster EINSUNDEINS
Organisation: 1&1 Internet AG
Address: Brauerstr. 48
PostalCode: 76135
City: Karlsruhe
CountryCode: DE
Phone: +49.721913747660
Fax: +49.72191374246
Email: hostmaster@1und1.de
Changed: 2009-04-24T16:52:08+02:00

https://www.virustotal.com/file/77c0894310109c5faf98289167cebe5a92f4e1d471702ba2287859917e846289/analysis/ 

http://www3.malekal.com/malwares/index.php?hash=2892aaa7126a60547a26528cd03b47e4

SHA256: 77c0894310109c5faf98289167cebe5a92f4e1d471702ba2287859917e846289
File name: 4opxOK8.exe
Detection ratio: 6 / 43
Analysis date: 2012-09-18 15:23:25 UTC ( 26 minutes ago )

Antiy-AVL Trojan/Win32.Autoit.gen 20120911
ESET-NOD32 a variant of Win32/LockScreen.AML 20120918
Jiangmin Worm/Sohanad.aim 20120918
TheHacker Trojan/Autoit.nki 20120918
VIPRE Trojan.Win32.Generic!BT 20120918
ViRobot Trojan.Win32.A.Refroso.513377[UPX] 20120918

EDIT 20 Septembre

http://adf.ly/3market.php?c=2&cb=3m&t=789132fb94fec70bafcee0f44af32971&d=884004
http://activity.livefaceonweb.com/activity.asmx?WSDL
http://event.b3lounge.de/
http://vmannfreund.us:9799/MnZCCC?RXmWK=36
http://vmannfreund.us:9799/12651
http://vmannfreund.us:9799/1271
http://adf.ly/callback/789132fb94fec70bafcee0f44af32971
http://vmannfreund.us:9799/1271
http://vmannfreund.us:9799/sMaWxs?nHjs=13&jsHq=1261

 

Dans les connexions établies par le malware :

TCP_MISS/200 610 GET http://95.163.68.147/payz/stat.php – DIRECT/95.163.68.147 text/html
TCP_MISS/200 4200 POST http://95.163.68.147/payz/index_FR.php – DIRECT/95.163.68.147 text/html
TCP_NEGATIVE_HIT/404 855 GET http://95.163.68.147/payz/fresh_buttons/buttons.css – NONE/- text/html
TCP_NEGATIVE_HIT/404 855 GET http://95.163.68.147/payz/js/keyboard.js – NONE/- text/html
TCP_MISS/200 3989 POST http://95.163.68.147/payz/index_FR.php – DIRECT/95.163.68.147 text/html
TCP_NEGATIVE_HIT/404 855 GET http://95.163.68.147/payz/fresh_buttons/buttons.css – NONE/- text/html
TCP_NEGATIVE_HIT/404 855 GET http://95.163.68.147/payz/js/keyboard.js – NONE/- text/html

Les statistiques sont publiques, je vous laisse apprécier :

 

EDIT 27 septembre

Abandon de l’exploitkit Sweet Orange pour du BlackHole 2 :

http://adf.ly/BYOG4
http://adf.ly/3market.php?c=2&cb=3m&t=0924cd6d9714f348e44c0d0522db3b44&d=557706
http://adf.ly/omnigy7425325410.swf
http://shiningmomentsteam.com/ (62.141.45.65) –
http://shiningmomentsteam.com/shin/index1.php
http://shiningmomentsteam.com/shin/assets/css/main.css
http://shiningmomentsteam.com/shin/assets/css/jqueryslidemenu.css
http://shiningmomentsteam.com/ajax.googleapis.com/ajax/libs/jquery/1.2.6/jquery.min.js
http://shiningmomentsteam.com/shin/assets/js/jqueryslidemenu.js
http://shiningmomentsteam.com/www.docstoc.com/js/docshots.js
http://shiningmomentsteam.com/www.statcounter.com/counter/counter.js
http://shiningmomentsteam.com/www.statcounter.com/counter/counter.js
http://twominuteinterpreted.org/links/blal.php
http://twominuteinterpreted.org/links/blal.php?mzvf=0707050a05&pegw=34&bojqvko=08040237343736363509&obxcetnp=09000200020002
http://twominuteinterpreted.org/links/blal.php?yfbfq=0707050a05&rfvpcj=343a&jlzvrz=les&froggq=jbq
http://twominuteinterpreted.org/links/blal.php?yfbfq=0707050a05&rfvpcj=343a&jlzvrz=les&froggq=jbq
http://twominuteinterpreted.org/links/hw.class
http://twominuteinterpreted.org/links/hw.class
http://adf.ly/callback/0924cd6d9714f348e44c0d0522db3b44

Domain Name: SHININGMOMENTSTEAM.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS09.DOMAINCONTROL.COM
Name Server: NS10.DOMAINCONTROL.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 05-sep-2012
Creation Date: 04-sep-2009
Expiration Date: 04-sep-2013

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SHININGMOMENTSTEAM.COM
Created on: 04-Sep-09
Expires on: 04-Sep-13
Last Updated on: 05-Sep-12

Registrant:
Alan Neese
7056 Sorghum Lane
Cherry Valley, Illinois 61016
United States

https://www.virustotal.com/file/657425d5a837cc7fc061556e6b6ad6704e84139e3a70edf41353c8e6a7037708/analysis/1348734270/

SHA256: 657425d5a837cc7fc061556e6b6ad6704e84139e3a70edf41353c8e6a7037708
File name: wgsdgsdgdsgsd.exe
Detection ratio: 13 / 41
Analysis date: 2012-09-27 08:24:30 UTC ( 1 minute ago )

Antiy-AVL Trojan/Win32.Autoit.gen 20120926
Avast AutoIt:Agent-IL [Trj] 20120927
BitDefender Trojan.LockScreen.B 20120926
eScan Trojan.LockScreen.B 20120926
ESET-NOD32 a variant of Win32/LockScreen.AML 20120926
F-Secure Trojan.LockScreen.B 20120926
GData Trojan.LockScreen.B 20120926
Jiangmin Worm/Sohanad.aim 20120925
nProtect Trojan.LockScreen.B 20120926
TheHacker Trojan/Autoit.nki 20120926
VIPRE Trojan.Win32.Generic!BT 20120926
ViRobot Trojan.Win32.A.Refroso.513377[UPX] 20120926

EDIT 11 Décembre

Ca faisait longtemps 🙂

http://samcro.fr/ redirge vers l’Exploit Kit : http://samcrop.info:443/evs/images/nomic.php?mission=139&journal=900&holidays=46&vote=373&issues=286

http://samcrop.info:443/evs/images/nomic.php?mission=139&journal=900&holidays=46&vote=373&issues=286
http://samcrop.info:443/evs/images/JNbtY
http://samcrop.info:443/member.php?skin=167&redir=394&view=13&books=620&live=1261&power=330&free=9&cover=118&media=585
http://samcrop.info:443/evs/images/JNbtY
http://samcrop.info:443/evs/images/lUkDbB
http://samcrop.info:443/evs/images/WGHjDnjY
http://samcrop.info:443/evs/images/lUkDbB
http://samcrop.info:443/evs/images/WGHjDnjY

http://adf.ly/3market.php?c=2&cb=3m&t=434de8748fb924c40528335bfd761442&d=985357
http://samcro.fr/
http://samcrop.info:443/evs/images/nomic.php?mission=139&journal=900&holidays=46&vote=373&issues=286
http://samcrop.info:443/evs/images/JNbtY
http://samcrop.info:443/member.php?skin=167&redir=394&view=13&books=620&live=1261&power=330&free=9&cover=118&media=585
http://samcrop.info:443/evs/images/JNbtY
http://samcrop.info:443/evs/images/lUkDbB
http://samcrop.info:443/evs/images/WGHjDnjY
http://samcrop.info:443/evs/images/lUkDbB
http://samcrop.info:443/evs/images/WGHjDnjY

La détection est bonne :

 

 

 

https://www.virustotal.com/file/f458342e4ca667639cb005515851ec281d005a2a655504d9e7ff5a1b5aea2737/analysis/

SHA256: f458342e4ca667639cb005515851ec281d005a2a655504d9e7ff5a1b5aea2737
File name: daa51d51baf862efb1ca241d05224378
Detection ratio: 12 / 43
Analysis date: 2012-12-11 20:26:02 UTC ( 30 minutes ago )

Antiy-AVL Trojan/Win32.Autoit.gen 20121211
Avast AutoIt:Agent-IL [Trj] 20121211
BitDefender Trojan.LockScreen.B 20121211
Emsisoft Trojan.LockScreen.B (B) 20121211
ESET-NOD32 a variant of Win32/LockScreen.AML 20121211
F-Secure Trojan.LockScreen.B 20121211
GData Trojan.LockScreen.B 20121211
Jiangmin Backdoor/Bifrose.apwq 20121211
nProtect Trojan.LockScreen.B 20121211
Panda Trj/Ransom.AB 20121211
TheHacker Trojan/Autoit.nki 20121210
ViRobot Trojan.Win32.A.Refroso.513377[UPX] 20121211

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 155 times, 1 visits today)

4 thoughts on “Malvertising adf.ly => Ransomware Sacem / Police Nationale

  1. Bonjour,

    Existe-t-il un moyen de connaître le vecteur utilisé sur le site adf.ly ? A priori, ce serait une faille flash ou java, mais difficile pour moi de l’ananlyser après coup.

    Pensez-vous qu’une combinaison « ad block plus » conjointement avec un Webguard soit efficace pour se prémunir ? En effet, il est facile de passer à côté d’une mise à jour d’un composant de navigateur, tant ils sont nombreux et potentiellement vulnérables

  2. Ingrédients :
    Configuration : Windows 7
    Antivirus : Avast Free
    Résolution : 30 minutes

    Bonjour, 

    Comme beaucoup de monde, j’ai été touché par le Virus trojan « Sacem Police Nationale » (Des morceaux de musique téléchargés illégalement (piratés) ont été localisés sur votre ordinateur).

    N’étant pas du genre à utiliser les techniques complexes, voire farfelus, comme certains internautes/informaticiens, j’ai pu trouvé une solution plus bête que ça :

    – Allumage
    – Icône windows
    – Écran blanc -> Message de la Sacem 

    – Enfoncer Ctrl+alt+suppr
    – Le gestionnaire de cessions Windows s’ouvre, et propose plusieurs choix.
    – Cliquer sur Gestionnaire des tâches (le dernier en bas).

    – l’Écran blanc Sacem revient.

    – Enfoncer et Maintenir   « Contrôle+Majuscule+Echap » (ne pas confondre avec Ctrl+alt+suppr).
    – La fenêtre « Gestion des processus » apparaît en flash à répétition (mais disparaît tjs si on relâche les 3 touches).
    – Pendant ces flashs, déplacer la souris et cliquer sur le processus correspondant au virus pour le sélectionner (facile il est tout seul).
    – Cliquer sur « fin de tâche ».
    – La fenêtre blanche disparaît alors, laissant un écran noir.

    – Ouvrir à nouveau la fenêtre « Gestion des processus »
    – Cliquer sur nouvelle tâche (en bas à droite).
    – Vous pouvez alors vous déplacer dans votre ordinateur, et même sur internet !
    – Aller dans le disque dur / programmes, retrouver le dossier de votre antivirus et trouver l’icône (la plus lourde en general) pour lancer le logiciel.
    – Scanner l’ordinateur et supprimer le virus (avec Avast, Nickel).
    – Si vous n’aviez pas d’antivirus avant l’infection, lancez internet, et faites un scan en ligne (j’ai utilisé Trend Micro House call -par Google-, et il a aussi detecté le virus).

    – Une fois l’opération terminée, et le virus supprimé, redémarrer.
    – Tada …!

    Bécot j’espère que ça en aidera certains…

    Bécot à tous. Tibo.

    iPhone / Mozilla Indeterminable

  3. I found your website in google and i use the google translater because i can´t speak french. jamboleo.in seems to be a spam referer. One of our websites gets a lot of traffic from this domain. The whois contact isn´t real and the provider is sitting on the seychelles. He don´t answer on abuse mails.
    best regards from germany

  4. hi i take out please this pictures from my homepage (www.samcro.fr) to remove them from their page my home page it is no SCAM page is a small private homepage. when they ask you to write me an email

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *