Malvertising clicksor toujours en ligne

Un point sur les Malvertising et la campagne Virus Gendarmerie qui a fait pas mal de ravage pendant ce mois de Décembre.
La malvertising d’adserve n’est plus en ligne : http://www.malekal.com/2011/12/13/malvertising-asrvstatsmanager-com-droppe-malware-via-videobb-et-adserve-com/
Celle de clicksor après avoir été en sommeil fait son retour.

 

hxtp://serw.clicksor.com/newServing/showbanner.php?nid=1&xxxx
hxtp://dueicow.info/43d7f87b86dfab98953c543c3a0e4e83 (184.107.189.53)
hxtp://durkapoc.com/in.cgi?3
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/com.class (109.236.81.247)
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/v1.jar
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/fdp1.php?f=105
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/cph2.php?c=105
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/fdp1.php?f=105
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/pentalgin.php?page=637f131124c215e2
=> http://www3.malekal.com/malwares/index.php?&domaine=109.236.81.247

 

La bannière est toujours une bannière sur le Golf :


Une autre malvertising est présente mais là c’est un gros Fail 😡

 et comme une ne suffit pas :

http://serw.clicksor.com/newServing/showbanner.php?nid=1&t9534.656906153705&zone=18376&chad=1&oe=UTF-8&csxxxhttp://acneclinic.info/b/728×90.jpg?ref=ben
http://topsale.titaniumsmiths.com/hitcounter.php?u=ben (81.177.33.167)
http://gutiyirn.in/ts/in.cgi?ben (173.193.73.82)
http://maco4ova.in/direct.php?page=28c07f5160be582d (173.193.73.95)
=> http://www3.malekal.com/malwares/index.php?&domaine=173.193.73.95 

 La bannière en question :

Sans commentaire clicksor…

EDIT – fin Avril 2012

 

Après une pause et une malvertising sous popup malicieuse : Malvertising clicksor : Ransomware « Activite illicite Démélée »
Une autre malvertising sous forme de bannière :

 

 

 

La détection VirusTotal :

SHA256: 8828eb14cb2598cf919b332d1575b2e05a96a1932c849b24fe0d624c83c2b2da
File name: cca6b3b6e5b26205df6fe9e21864360f
Detection ratio: 3 / 41
Analysis date: 2012-04-25 07:29:26 UTC ( 14 minutes ago )

Comodo UnclassifiedMalware 20120425
Kaspersky Trojan-Dropper.Win32.Dapato.azzt 20120425
McAfee – 20120425
McAfee-GW-Edition – 20120424
Microsoft Worm:Win32/Cridex.B 20120425

 

C’est cette variante du virus Gendarmerie qui est installée.

 

Les adresses contactées par les malwares :
1335338696.700 99 192.168.1.27 TCP_MISS/200 341 POST http://shotthemfupa.com/msaa.php – DIRECT/91.121.6.111 text/html
1335338696.708 106 192.168.1.27 TCP_MISS/200 341 POST http://shotthemfupa.com/msaa.php – DIRECT/91.121.6.111 text/html
1335338708.427 1761 192.168.1.27 TCP_MISS/200 882619 GET http://heretoeos.com/fr/dg797FDFddd.php?id=4063B68D4B4B414D614D&cmd=img – DIRECT/37.59.188.162 text/html

1335338718.573 80 192.168.1.27 TCP_MISS/200 303 GET http://heretoeos.com/fr/dg797FDFddd.php?id=4063B68D4B4B414D614D&cmd=geo – DIRECT/37.59.188.162 text/html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 12 times, 1 visits today)

One thought on “Malvertising clicksor toujours en ligne

  1. Bonjour Mak,

    Depuis le début des campagnes BlackHole, il y a des incrémentations (+1) assez régulière depuis l’IP source, c’est à dire 109.236.81.240. Aujourd’hui, nous en sommes à .247 et il y a de grandes chances que ça continue car ce n’est malheureusement pas la peine de compter sur WorldStream pour mettre fin aux activités illégales qui s’opèrent sur leurs datacenters.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *