Malvertising clicksor : Ransomware « Activite illicite Démélée »

Une autre malvertising toujours pour la campagne du ransomware Activite illicite Démélée.
Cette fois-ci une malvertising sur les sites de streaming/téléchargement chez clicksor (pour changer).

La malvertising en question :

La page http://super.ham-radio-op.net/?rid=d0021cbfe86c487ee023eabde9ca0018 (109.236.84.194 – NL) distribue la malvertising qui contient deux iframes.
L’une pour afficher la publicité et l’autre pour rediriger vers l’exploit.

La publicité se trouve sur la page http://www.usapaydaylocators.com/ (69.64.147.100)

L’exploit charge un fichier ms0cfg32.exe : http://www3.malekal.com/malwares/index.php?hash=6175238eeaa5235905fdc051b748e9c1

https://www.virustotal.com/file/f9a092c3742badf048e036d272cb35c587b621360e23445e8c1556cfdf437840/analysis/SHA256: f9a092c3742badf048e036d272cb35c587b621360e23445e8c1556cfdf437840
File name: 6175238eeaa5235905fdc051b748e9c1
Detection ratio: 3 / 42
Analysis date: 2012-04-22 09:50:37 UTC ( 23 minutes ago )Fortinet    W32/Crypt.AABB!tr    20120422
Kaspersky    UDS:DangerousObject.Multi.Generic    20120422
Symantec WS.Reputation.1 20120422

qui créé un fichier svchosts.exe dans %TEMP qui lance à son tour un fichier setup.exe dans le dossier Downloads de Mes documents.

puis le processus wuauclt.exe est lancé et est injecté – ce dernier télécharge ce qui va bien et créer la clef Run.

 

La page du ransomware est affichée :

Les connexions établies pour cette variante :

TCP_MISS/200 8315 GET http://photoshopstudy10.in/00007.dll.pack – DIRECT/64.62.146.83 application/x-msdos-program
TCP_MISS/200 365 GET http://3dmaxstudy10.in/pin/gate.php?getpic=getpic – DIRECT/64.62.146.82 text/html
TCP_MISS/200 345 GET http://3dmaxstudy10.in/pin/gate.php?getip=getip – DIRECT/64.62.146.82 text/html
TCP_MISS/200 333 GET http://3dmaxstudy10.in/pin/gate.php?user=00007&uid=%7B93D614BD-D110-11DE-BC79-806D6172696F%7D00007&os=2 – DIRECT/64.62.146.82 text/html 
 

NOTE – Le malware modifie les permissions sur la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ce qui peux empécher le fix par HijackThis par exemple.

Print Friendly, PDF & Email
(Visité 52 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet