Malvertising Samsung – Virus Gendarmerie controle automatique informationnel (Tr/Weelsof)

Une petite poussé de la variante Virus Gendarmerie controle automatique informationnel sur le forum :

Ce dernier pour ne pas changer est refourgué par des Malvertising en autre sur des sites pornographiques.
Après Plugcrush.com : http://www.malekal.com/2012/06/12/ransomware-win32weelsof-via-malvertising-plugrush-com/

Une autre malvertising pour Samsung Nexus en Allemand.

Le responsable semble être trafficholder :
http://www.suckchannel.com/sell.php (94.75.211.238)
http://trafficholder.com/in/in.php?sexulus
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=sexulus&n=&r=
http://firstdealtoday.info/nexus/ (5.9.25.98)

Le domaine date du mois de Mai :

Domain ID:D46323037-LRMS
Domain Name:FIRSTDEALTODAY.INFO
Created On:04-May-2012 13:51:53 UTC
Last Updated On:04-May-2012 13:51:54 UTC
Expiration Date:04-May-2013 13:51:53 UTC

La malvertising lance un TDS via une iframe : http://mydevicelist.com/in.cgi?4&parameter=galaxys (78.46.82.187=

Domain Name: MYDEVICELIST.COM
Registrar: ENOM, INC.
Updated Date: 04-apr-2012
Creation Date: 04-apr-2012
Expiration Date: 04-apr-2013

 


Le TDS conduit ensuite à l’exploitkit : http://www3.malekal.com/malwares/index.php?hash=d7dbf1e337446b49390290800571d906

TCP_MISS/200 36644 GET http://fuck.toutges.us/files.php?page=anime&u=4fbc7ecd41e8d6c003000003&s=4fbe087841c6c7cc09000015&id=4ff32a379234dbf816453394&file=pdf7.pdf – DIRECT/91.220.84.237 application/pdf
TCP_MISS/200 61702 GET http://fuck.toutges.us/loadorrndname.php?x=x&u=4fbc7ecd41e8d6c003000003&s=4fbe087841c6c7cc09000015&id=4ff32a379234dbf816453394&spl=emailInf_7 – DIRECT/91.220.84.237 application/octet-stream
TCP_MISS/404 423 GET http://fuck.toutges.us/loadorrndname.php?x=x&u=4fbc7ecd41e8d6c003000003&s=4fbe087841c6c7cc09000015&id=4ff32a379234dbf816453394&spl=emailInf_7&f=1 – DIRECT/91.220.84.237 text/html

La connexion au C&C de Weelsof (téléchargement de l’image etc) :
TCP_CLIENT_REFRESH_MISS/200 82794 GET http://ilovewholeworld.288536.com/adv/arch/design_54000000 – DIRECT/95.163.104.67 text/plain
TCP_MISS/200 338 GET http://ilovewholeworld.288536.com/adv/get.php – DIRECT/95.163.104.67 text/html
TCP_MISS/200 331 POST http://ilovewholeworld.288536.com/adv/topic.php – DIRECT/95.163.104.67 text/html
TCP_MISS/200 331 POST http://ilovewholeworld.288536.com/adv/topic.php – DIRECT/95.163.104.67 text/html

 

La détection est de 3/42 sur VirusTotal : https://www.virustotal.com/file/0eebd8658f5c94daa4f9fafb6ecf1582a1384d8dfe55ffeed93d70b4d5378ee6/analysis/

SHA256: 0eebd8658f5c94daa4f9fafb6ecf1582a1384d8dfe55ffeed93d70b4d5378ee6
File name: d7dbf1e337446b49390290800571d906
Detection ratio: 3 / 42

Analysis date: 2012-07-03 17:26:12 UTC ( 24 minutes ago )
Kaspersky Trojan-Downloader.Win32.Agent.wdoc 20120703
NOD32 Win32/Weelsof.B 20120703
SUPERAntiSpyware Trojan.Agent/Gen-FakeAlert[ZBot] 20120703

 

TrafficHolder faisant partie des régies de publicité qui joue le jeu, je vais les contacter en espérant qu’ils fassent le nécessaire

EDIT

C’est fait !

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 22 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *