Malvertising clicksor : Ransomware « Activite illicite Démélée »

Une autre malvertising toujours pour la campagne du ransomware Activite illicite Démélée.
Cette fois-ci une malvertising sur les sites de streaming/téléchargement chez clicksor (pour changer).

La malvertising en question :

La page http://super.ham-radio-op.net/?rid=d0021cbfe86c487ee023eabde9ca0018 (109.236.84.194 – NL) distribue la malvertising qui contient deux iframes.
L’une pour afficher la publicité et l’autre pour rediriger vers l’exploit.

La publicité se trouve sur la page http://www.usapaydaylocators.com/ (69.64.147.100)

L’exploit charge un fichier ms0cfg32.exe : http://www3.malekal.com/malwares/index.php?hash=6175238eeaa5235905fdc051b748e9c1

https://www.virustotal.com/file/f9a092c3742badf048e036d272cb35c587b621360e23445e8c1556cfdf437840/analysis/SHA256: f9a092c3742badf048e036d272cb35c587b621360e23445e8c1556cfdf437840
File name: 6175238eeaa5235905fdc051b748e9c1
Detection ratio: 3 / 42
Analysis date: 2012-04-22 09:50:37 UTC ( 23 minutes ago )Fortinet    W32/Crypt.AABB!tr    20120422
Kaspersky    UDS:DangerousObject.Multi.Generic    20120422
Symantec WS.Reputation.1 20120422

qui créé un fichier svchosts.exe dans %TEMP qui lance à son tour un fichier setup.exe dans le dossier Downloads de Mes documents.

puis le processus wuauclt.exe est lancé et est injecté – ce dernier télécharge ce qui va bien et créer la clef Run.

 

La page du ransomware est affichée :

Les connexions établies pour cette variante :

TCP_MISS/200 8315 GET http://photoshopstudy10.in/00007.dll.pack – DIRECT/64.62.146.83 application/x-msdos-program
TCP_MISS/200 365 GET http://3dmaxstudy10.in/pin/gate.php?getpic=getpic – DIRECT/64.62.146.82 text/html
TCP_MISS/200 345 GET http://3dmaxstudy10.in/pin/gate.php?getip=getip – DIRECT/64.62.146.82 text/html
TCP_MISS/200 333 GET http://3dmaxstudy10.in/pin/gate.php?user=00007&uid=%7B93D614BD-D110-11DE-BC79-806D6172696F%7D00007&os=2 – DIRECT/64.62.146.82 text/html 
 

NOTE – Le malware modifie les permissions sur la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ce qui peux empécher le fix par HijackThis par exemple.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 14 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *