Malvertising Clicksor avec un faux message de mise à jour Firefox

Les malvertising Clicksor toujours actives qui en plus d’embarquer un habituel exploit conduit aussi vers un faux message de mise à jour Firefox.
Vous noterez que le message est en français avec un faux code d’erreur : 0x00000000

Ce dernier propose le fichier http://filehost101.in/tds777/winsetup.exe qui droppe le stealer Zbot.

https://www.virustotal.com/file/40ce4ccb865641a4c2122aa0b2c4e0e5ec469e5e93f732a1ef62a4fdc2292fba/analysis/

SHA256: 40ce4ccb865641a4c2122aa0b2c4e0e5ec469e5e93f732a1ef62a4fdc2292fba
File name: 1586031
Detection ratio: 6 / 42
Analysis date: 2012-05-24 08:40:41 UTC ( 14 minutes ago )

BitDefender Trojan.Generic.KD.630925 20120524
DrWeb Trojan.PWS.Panda.1986 20120524
F-Secure Trojan.Generic.KD.630925 20120524
GData Trojan.Generic.KD.630925 20120524
Kaspersky HEUR:Trojan.Win32.Generic 20120524
Panda Trj/pck_Noupack.a 20120524

Un résumé des URLs :

http://serw.clicksor.com/newServing/links.php?zone=7152&chad=1&adu=2&cs=&adtype=7&nid=1&sid=176359&pid=90223&spid=0&image=2&memkey=fab83582090bdb4ae96f025edda93e97&durl=&lq=0&lb=129&qp=YF4lKC_7JScg-Scu-yQo91tZYCckLiT-JTXzZl4r_iYiXmY0fv4jMyInKyd-Jw
http://ads.traff.co/redir.php?url=http%3A%2F%2Fpressbus.info%2F
http://rplex60.in/in.cgi?6 (188.72.213.127)
http://rplex60.in/in.cgi?20
http://rplex60.in/in.cgi?2
http://jasduus55.info/weblogs/czeugqcpelapdo3.pdf
http://jasduus55.info/weblogs/yofvkzyshnisdpf3.jar
http://jasduus55.info/weblogs/yrktawarjrcsg9.jar
http://95.168.187.15/weblogs/bzc1.php?i=6&f=c0af9&e=0
http://jasduus55.info/weblogs/com.class
http://jasduus55.info/weblogs/edu.class
http://jasduus55.info/weblogs/net.class
http://jasduus55.info/weblogs/org.class

http://95.168.187.15/weblogs/bzc1.php?i=6&f=c0af9&e=0 est le dropper dont voici la fiche http://www3.malekal.com/malwares/index.php?hash=735acdaeffc721e0e694aaac4b0ab99c 

Lien VirusTotal https://www.virustotal.com/file/900cda3fe92b83b5c201b0442dc800fdde79775da1e42a1952baa7183c0fccb4/analysis/

SHA256: 900cda3fe92b83b5c201b0442dc800fdde79775da1e42a1952baa7183c0fccb4
File name: 735acdaeffc721e0e694aaac4b0ab99c
Detection ratio: 1 / 42
Analysis date: 2012-05-24 07:40:13 UTC ( 1 heure, 18 minutes ago )

Kaspersky    Packed.Win32.Krap.iu    20120524

C’est aussi un  Zbot – La Clef Run ajoutée :

O4 - HKCU\..\Run: [Odmyypazof] "C:\Documents and Settings\Mak\Application Data\Hoas\acyn.exe"

A noter que filehost101.in hébergent plusieurs autres malwares sur un BlackHole : http://www3.malekal.com/malwares/index.php?&url=filehost101.in

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 11 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *