Malvertising clicksor toujours en ligne

Un point sur les Malvertising et la campagne Virus Gendarmerie qui a fait pas mal de ravage pendant ce mois de Décembre.
La malvertising d’adserve n’est plus en ligne : https://www.malekal.com/2011/12/13/malvertising-asrvstatsmanager-com-droppe-malware-via-videobb-et-adserve-com/
Celle de clicksor après avoir été en sommeil fait son retour.

 

hxtp://serw.clicksor.com/newServing/showbanner.php?nid=1&xxxx
hxtp://dueicow.info/43d7f87b86dfab98953c543c3a0e4e83 (184.107.189.53)
hxtp://durkapoc.com/in.cgi?3
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/com.class (109.236.81.247)
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/v1.jar
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/fdp1.php?f=105
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/cph2.php?c=105
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/content/fdp1.php?f=105
hxtp://mitchell-i-shop-nord-po-rated-blogg.com/pentalgin.php?page=637f131124c215e2
=> http://www3.malekal.com/malwares/index.php?&domaine=109.236.81.247

 

La bannière est toujours une bannière sur le Golf :


Une autre malvertising est présente mais là c’est un gros Fail 😡

 et comme une ne suffit pas :

http://serw.clicksor.com/newServing/showbanner.php?nid=1&t9534.656906153705&zone=18376&chad=1&oe=UTF-8&csxxxhttp://acneclinic.info/b/728×90.jpg?ref=ben
http://topsale.titaniumsmiths.com/hitcounter.php?u=ben (81.177.33.167)
http://gutiyirn.in/ts/in.cgi?ben (173.193.73.82)
http://maco4ova.in/direct.php?page=28c07f5160be582d (173.193.73.95)
=> http://www3.malekal.com/malwares/index.php?&domaine=173.193.73.95 

 La bannière en question :

Sans commentaire clicksor…

EDIT – fin Avril 2012

 

Après une pause et une malvertising sous popup malicieuse : Malvertising clicksor : Ransomware « Activite illicite Démélée »
Une autre malvertising sous forme de bannière :

 

 

 

La détection VirusTotal :

SHA256: 8828eb14cb2598cf919b332d1575b2e05a96a1932c849b24fe0d624c83c2b2da
File name: cca6b3b6e5b26205df6fe9e21864360f
Detection ratio: 3 / 41
Analysis date: 2012-04-25 07:29:26 UTC ( 14 minutes ago )

Comodo UnclassifiedMalware 20120425
Kaspersky Trojan-Dropper.Win32.Dapato.azzt 20120425
McAfee – 20120425
McAfee-GW-Edition – 20120424
Microsoft Worm:Win32/Cridex.B 20120425

 

C’est cette variante du virus Gendarmerie qui est installée.

 

Les adresses contactées par les malwares :
1335338696.700 99 192.168.1.27 TCP_MISS/200 341 POST http://shotthemfupa.com/msaa.php – DIRECT/91.121.6.111 text/html
1335338696.708 106 192.168.1.27 TCP_MISS/200 341 POST http://shotthemfupa.com/msaa.php – DIRECT/91.121.6.111 text/html
1335338708.427 1761 192.168.1.27 TCP_MISS/200 882619 GET http://heretoeos.com/fr/dg797FDFddd.php?id=4063B68D4B4B414D614D&cmd=img – DIRECT/37.59.188.162 text/html

1335338718.573 80 192.168.1.27 TCP_MISS/200 303 GET http://heretoeos.com/fr/dg797FDFddd.php?id=4063B68D4B4B414D614D&cmd=geo – DIRECT/37.59.188.162 text/html

Print Friendly
(Visité 52 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet