Malvertising clicksor conduit à un spambot

Le tout premier virus gendarmerie n’est plus distribué par la malveritsing clicksor.
 Le nouveau virus gendarmerie et virus Sacem l’ont été avec aussi Sinowal (ça devrait continuer pour Sinowal, je pense).

Aujourd’hui un nouveau malware est distribué.


La bannière malicieuse :


L’exploit kit :

Le fichier WMPRWISE.EXE  est droppé, ce dernier se trouve dans %APPDATA% et est caché.

La détection : https://www.virustotal.com/file/a5832167852819df4b09c91cb6cb0ff144d75a6cb01ee6dec92cc92d19fe5359/analysis/

DrWeb    Trojan.Siggen.65039
Kaspersky Packed.Win32.Katusha.o
McAfee PWS-Zbot.gen.hv


Dans les strings en mémoires, on peux voir des pages dont une page smtps.php
Le malware fait notamment des POSTS sur les IP suivantes :

TCP_MISS/504 1529 POST http://217.20.112.58/stat1.php - DIRECT/217.20.112.58 text/html
TCP_MISS/401 704 POST http://217.20.115.50/stat1.php - DIRECT/217.20.115.50 text/html
TCP_MISS/404 1289 POST http://74.125.226.176/stat1.php - DIRECT/74.125.226.176 text/html

 
Les connexions SMTP :
 
Exemple de mails envoyés :
Le lien conduit à une page Canadian Pharmacy :
 

Malwarebyte’s Anti-Malware gère ce malware.
Un malware beaucoup plus simple à éradiquer que les ransomware Fake Police qui bloquent les PC.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 11 times, 1 visits today)

One thought on “Malvertising clicksor conduit à un spambot

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *