Malvertising : ero-advertising.com / TrafficHolder vers wowsexvideos.net

Une autre malvertising toujours sur des sites pornographiques.

Celle ci-dessous est distribuée par trafficholder.com qui possède d’autres malvertising : http://www.malekal.com/2012/05/09/malvertising-sur-drtuber-com-a-travers-trafficholder-com/
Je ne donnerai pas les détails  dans ce billet.

Celle-ci est distribuée par ero-advertising.com


trafficholder.com qui pub pour teenporn-tube.net (85.17.124.5 – LEASEWEB – NL)
Ce dernier est relativement récent :

Domain Name: TEENPORN-TUBE.NET
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS30.TGPTRAFFICBIZNS.COM
Name Server: NS31.TGPTRAFFICBIZNS.COM
Status: clientTransferProhibited
Updated Date: 04-nov-2011
Creation Date: 19-oct-2011
Expiration Date: 19-oct-2012

puis popads.ero-advertising.com redirige vers wowsexvideos.net 
ce dernier contient une iframe qiu redirige vers trik-a.com/ss.php
qui charge un exploitkit à travers un javascript, ce dernier redirige vers kaj182.com 65.254.51.42

puis l’exploitkit charge le code malicieux.



Le malware au final peux être différent, on peux avoir du ransomware Fake Police type « Activite illicite Revélée »

ou  le trojan Clicker  TrojanClicker:Win32/Clidak.A  : http://www3.malekal.com/malwares/index.php?hash=af1c94cbb4dcae3bf6fa7ba18559289d

 

Les Whois sur les domaines utilisés sont assez interressants.
On voit que WOWSEXVIDEOS.NET est récent :

Domain Name: WOWSEXVIDEOS.NET
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Name Server: NS1.REGWAY.COM
Name Server: NS2.REGWAY.COM
Status: clientTransferProhibited
Updated Date: 08-may-2012
Creation Date: 08-may-2012
Expiration Date: 08-may-2013

Les informations donnés et notamment l’adresse email aussi :

Administrative Contact:
N/A
Ezaf Hsmit (kigajas@gmail.com)
Seprotshtrasse 84
Berlin,84163DE
Tel. +49.16094966279

Celle-ci est référencée dans un papier de Trend-Micro sur les ransomwares Fake Police
On en déduit donc que WOWSEXVIDEOS.NET a été enregistré pour cette campagne.

 

même chose pour Trik-a.com, ce dernier est relativement récent :

Domain Name: TRIK-A.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.LUXEMIL.COM
Name Server: NS2.LUXEMIL.COM
Status: clientTransferProhibited
Updated Date: 21-dec-2011
Creation Date: 21-dec-2011
Expiration Date: 21-dec-2012

 

L’adresse IP est interressante aussi :

trik-a.com has address 67.225.149.204

 

Celle-ci est référencée sur cette page : http://www.malekal.com/2012/03/25/trojan-clicker-a-travers-une-extension-firefox/

 

Le domaine est connu de Google Safe Browsing :

 

EDIT : 17 Mai

Le même genre depuis trafficholder.

http://www.trafficholder.com/in/in.php?free3&returl=http://www.freesexnavigator.com/?id=retth
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=free3&n=&r=http%3A%2F%2Fwww.freesexnavigator.com%2F%3Fid%3Dretth
http://www.wanktubevideos.com/?id=1 (50.23.150.24)
http://viagranetguide.com/f/index.php?uri=xhamster.com/movies/1154162/russian_teenage_slut_in_hostel_p2.html&f=1

Le domaine est très récent (quelques jours) :

Domain Name: WANKTUBEVIDEOS.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.WANKTUBEVIDEOS.COM
Name Server: NS2.WANKTUBEVIDEOS.COM
Status: clientTransferProhibited
Updated Date: 06-may-2012
Creation Date: 06-may-2012
Expiration Date: 06-may-2013

 

Le site se fait passer pour xHamster (un autre site de streaming pornographique) et propose un faux plugin Adobe Flash :  http://www3.malekal.com/malwares/index.php?hash=8b22d32ac2eb6358b277ca00571779d2
C’est le malware présenté sur ce billet : Trojan Clicker à travers une extension Firefox

On retrouve aussi trik-a.com qui se connecte à l’ExploitKit :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 32 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *