Malvertising : asrvstatsmanager.com droppe malware via videobb et adserve.com

Vu en commentaire lorsque j’ai demandé où ont été choppés les malwares.
Merci à Splatch pour la réponse.

Du coup, un petit tour sur videobb et hop.. un exploit java

Une autre capture avec la pub en bas de videobb avec une applet Java qui se charge :

et Adobe Reader qui tente de charger le malware via un Exploit PDFL’adresse malicieuse est asrvstatsmanager.com chargée par la régie adserve.com

Un whois sur le domaine donne asrvstatsmanager.com IP 188.95.53.124 (NL) :

Administrative Contact:
    Adonis Partner Group
    Adonis Papandreou        (adonis.papandreou@ze.ro)
    12 Olympionikou
    Anthens
    Fthiotis,15237
    GR
    Tel. +000.00000000

puis connexion à un rotator asrvstatsmanager.com/in.cgi?2 pour rediriger vers le BlackHole
Pour un aperçu de l’étendu des dégâts se reporter à la page : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

et le javascript malicieux du BlackHole et on déroule le kit, ce qui donne au final :

ad.adserve.com	/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751	1 472	Expires: Thu, 01 Jan 1970 00:00:00 GMT	text/html; charset=utf-8	firefox:592
asrvstatsmanager.com	/ad_track.php?s=2&aid=123&cn=eu&cont	2 586		text/html	firefox:592
asrvstatsmanager.com	/in.cgi?2&ab_iframe=1&ab_badtraffic=0&antibot_hash=1743421938&ur=1&HTTP_REFERER=http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/xxxx
gregoryhansonbloggers.com	/forum.php?tp=ee39f2389ea07c28	91 139		text/html	firefox:592
gregoryhansonbloggers.com	/content/fdp1.php?f=19	70 698		application/pdf	firefox:592
gregoryhansonbloggers.com	/content/fdp1.php?f=19	70 745		application/pdf	firefox:592
gregoryhansonbloggers.com	/content/fdp1.php?f=19	70 607		application/pdf	firefox:592
gregoryhansonbloggers.com	/w.php?f=19&e=3	173 056	must-revalidate, post-check=0, pre-check=0  Expires: Tue, 13 Dec 2011 18:30:23 GMT	application/x-msdownload	acrord32:320

Une capture où l’on peux voir que le dropper a réécrit le fichier C:\Windows\explorer.exe – le fichier voit son hash modifié.
On reconnait donc le Trojan.Winlock/Ransomware Gendarmerie : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Le mécanisme reste le même au niveau de l’infection typique des exploits sur site WEB.

Ce qui est assez navrant, c’est que l’on a pas affaire à un Malvertising (le premier Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming) mais deux Malvertising en circulation, une volonté aussi des auteurs de malwares de viser les sites de streaming et en l’occurence ici vidéobb qui sont très à la mode et donc de quoi viser un maximum d’internautes d’où la forte propagation de cette infection.

 

Vous pouvez filtrer les pubs via Adblock sur Firefox, par exemple, voir la page Sécuriser Firefox
Et surtout…
Et surtout je ne le répèterai jamais assez, maintenez à jour vos logiciels, si vous ne Pensez pas à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), votre PC est vulnérable aux exploits sur site WEB. qui ne vont pas que les sites de streaming !

Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

EDIT 14 Décembre 2011 :

adserve.com contacté – réponse mais le malvertising est toujours en ligne …………  :

Hi Malekal,

Thanks for the information provided. We sure do not allow with the malvertising on our platform. Please feel free to let us know if you noticed any malvertising the next time too.
many thanks,

EDIT mi-Janvier 2012 :

De retour… ça va donc encore faire mal.

http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751
http://sp-adhitcounter.com/ad_track.php?s=2&aid=123&cn=eu&conte
http://sp-adhitcounter.com/in.cgi?2&ab_iframe=1&ab_badtraffic=0&antibot_hash=1851923371&ur=1&HTTP_REFERER=http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751&aid=123&cn=eu&conte
http://wild-horses-workshops.com/content/fdp1.php?f=19 (178.18.250.226)
http://wild-horses-workshops.com/content/cph2.php?c=19
http://wild-horses-workshops.com/content/fdp1.php?f=19
http://wild-horses-workshops.com/content/fdp1.php?f=19
http://wild-horses-workshops.com/content/v1.jar
http://wild-horses-workshops.com/w.php?f=19&e=3

Mars 2012 :

La malvertising sur adserve est revenue – Celle-ci pointe vers le même dropper que la malvertising clicksor : (3/43)  http://www3.malekal.com/malwares/index.php?hash=99a59a555d8fb6c9986b6915916d260e

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 60 times, 1 visits today)

3 thoughts on “Malvertising : asrvstatsmanager.com droppe malware via videobb et adserve.com

  1. je voudrai savoir plusieurs chose, là on est sur le site officiel de vidéobb donc le maliciel se trouve dessus comment le pirate a peu le mettre? il n’est pas un simple uploader?
    je site: ((L’adresse malicieuse est asrvstatsmanager.com chargée par la régie adserve.com ))
    c’est du pishing?
    l’exploit java profite d’une faille adobe?

    Merci. cordialement.

  2. Salut,

    Faut connaître le fonctionnement des régies de pub (ce que je connais pas des masses).
    Là tout se passe avec adserve.com (ou une régie tiers).

    Je pense qu’ils se sont faire passer pour un client en proposant à adserve.com une bannière pour un produit quelconque, faut que ça fasse vraie.
    La bannière fait rien que d’interroger un site ici asrvstatsmanager.com, au moment où tu proposes à adserve.com ça ne va pas vers du contenu malicieux (chuis mm pas certains que adserve.com aie des vérifications – mais bon), tu fais aller vers un site d’un produit ou je ne sais quoi.

    Ensuite, quand tu veux commencer la campagne malicieuses, par exemple le vendredi soir, en début de WE, quand les internautes vont aller matter des films le soir et durant le WE et que les abuses roupillent et les labos des AV aussi.
    Tu fais aller vers le rotator qui redirigent vers le blackHole et c’est parti.

    adserve.com a été contacté hier, ils m’ont répondu ce matin et contrairement à l’édit, ça continue…
    Sont pas très rapides…

    qui redirige les internautes.

  3. Good post. I study one thing more difficult on colmletepy different blogs everyday. It is going to always be stimulating to learn content from other writers and apply a bit one thing from their store. I’d choose to make use of some with the content material on my weblog whether you don’t mind. Natually I’ll give you a link on your web blog. Thanks for sharing.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *