Malvertising sur adcash et adserve

Deux Malvertising, l’une sur adcash et l’autre sur adserve.
Adcash est une régie de publicité en Estonie mais probablement tenue par des français.

Adcash redirige vers http://girlswebcameras.com/go//p/page.cgi?dcb&lang=french

qui redirige vers l’Exploit Kit

http://www.adcash.com/script/pop_packcpm.php?k=50c5c041353ff163804.493070&h=afbfa7522538782046116fb516816eaffc9e089a&id=0&ban=163804&r=29405&ref=h&data=&subid=
http://girlswebcameras.com/go//p/page.cgi?dcb&lang=french
http://fiqaurrakohshan.bounceme.net/r/l/ensures-promptly.php

Le malware obtenu est un ransomware qui se propage aussi sur d’autres régies tels que trafficbroker depuis plusieurs mois.
=> http://malwaredb.malekal.com/index.php?hash=c8686af9ff723ff5a1212297318c665a*

Dans le cas de celle d’adcash, vous avez des chances de tomber dessus sur des sites de téléchargement de DVDRip.

 

 

 

 

 

L’autre Malvertising débute par out.popads.net qui redirige vers adserve qui redirige vers mega-cool-bonus.org

puis redirige vers un TDS Sutra :

qui redirige vers l’Exploit Kit :

La Malvertising :


Notez que celle-ci se propage avec des domaines différents depuis plusieurs mois aussi mais je me souviens pas qu’adserve était utilisé.

Le malware obtenu est aussi un ransomware – du reveton : http://malwaredb.malekal.com/index.php?hash=2c38111aba045e35221eedfca3911430t 

http://out.popads.net/servePopunder.php?m=-1,-1,0,0,0,-1,-1,4,0,1,-4,-4,1024,585,1032,746&s=1024,768,1,1024,768
http://out.popads.net/popOut.php?a=3507338602&ac=3065323367229656
http://ad.adserve.com/delivery/pu/i/s/7/z/1/d/e2/t/2/fs/-1/ut/-1/fp/1/sh/-1/ck/5ec8dc412581a0ca18f824a3994eb5a1
http://mega-cool-bonus.org/
http://mega-cool-bonus.org/tmp/
http://gogo.myshaggydogvet.com/in?LORD
http://process.hotelcesenaticonline.info/r/l/hair-phase-compose_former.php

 

 

 

Je vais contacter Adcash pour qu’ils nettoyent leurs annonces, dans le cas d’Adserve, cela risque d’être plus difficile.

 

EDIT – 12 Novembre

Adcash a été contacté.

Pour info, en plus de hxtp://uload.to/txu3r4xg5vty
La malvertising adserve est aussi sur hxtp://www.directmirror.com/files/1SJSBCSV

http://out.popads.net/servePopunder.php?m=-1,-1,0,0,0,-1,-1,2,0,13,-4,-4,1024,585,1032,746&s=1024,768,1,1024,768
http://out.popads.net/popOut.php?a=2193924066&ac=7691969326880326
http://ad.adserve.com/delivery/pu/i/s/7/z/1/d/e2/t/2/fs/-1/ut/-1/fp/1/sh/-1/ck/5ec8dc412581a0ca18f824a3994eb5a1
http://mega-cool-bonus.org/
http://mega-cool-bonus.org/tmp/
http://bing.myshaggydogvet.com/in?LORD
http://red.feralfangsmithing.com/r/l/hair-phase-compose_former.php
http://red.feralfangsmithing.com/r/media/java.php
http://red.feralfangsmithing.com/r/f.php?k=1
http://red.feralfangsmithing.com/r/media/pdf_old.php

EDIT 10 Janvier 2013

Back pour délivrer le ransomware  Reveton : Virus du Ministère de l’intérieur
http://ad.adserve.com/delivery/pu/i/s/7/z/1/d/e2/t/2/fs/-1/ut/-1/fp/1/sh/-1/ck/5ec8dc412581a0ca18f824a3994eb5a1
http://live-casino-online.org/tmp/ (95.215.63.138)
http://pain.xgym18.com/in?LORD (85.17.201.36)
http://50ef1e1b3c7d2.educationandskills.info/news/Connection.php5

malvertising_live-casino-online.org

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 46 times, 1 visits today)

One thought on “Malvertising sur adcash et adserve

  1. Perso j’y ai eu droit il y a deux jours sur adcash uniquement.
    J’arrive sur la page d’un site où je ne pouvais pas cliquer sur les liens. J’ai donc activé javascript site par site, pour voir où ça bloquait (très malin de la part du mec).
    Sachant que sur ce site, tout fonctionne toujours parfaitement, en activant javascript uniquement pour le site.
    Finalement, ça n’a rien changé, ensuite je quitte le site, et je vois deux pages ouvertes, les deux identiques.

    La page proposait d’installer une fake version de flashplayer, en provenance d’une ip sans hostname.

    http://8.29.133.140/download/download5adcfr.php?src=ADC&kw=35126&lp=4

    J’ai essayé de trouver à quel moment ça c’était ouvert, j’ai repensé aux liens inaccessibles du site, je retourne sur cette page, cette fois ci les liens étaient accessible (hum ? strange.. just impossible)
    J’ai réactivé javascript sur tout les sites et tracé la route que fait prendre le premier « get » de la page.
    Le lien adcash qui s’ouvre est le fake lien.
    http://www.adcash.com/script/pop_packcpm.php?k=527a834a72a68330915.873204&h=6dbf449ea755a76d48d4f58d8fa7be90fa6b196c&m=1&id=0&ban=330915&r=35126&ref=h&data=&subid=&sw=1920&sh=1200

    Mais cette fois il ne m’a pas redirigé vers la page de proposition de download de la fake version de flashplayer (1 redir / ip, puis désactivation de la redir je suppose).

    A la place, il me redirige ici:
    http://cpadominator.com/campaigns/index.php?g=adcfr&src=ADC&kw=35126

    Je tente un second traçage, idem.

    Troisième traçage, plus rien.
    Cette fois, le lien adcash est normal.

    Conclusion:
    Il est probable que le mauvais lien adcash ne s’active que quelques minutes par jour, ce qui suffisant pour contaminer des millier de personnes.

    Ce qui m’étonne, c’est la fake page sur le site originel
    Il est possible que les véritables auteurs de ce malware soient les proprio de ce site.
    A moins que ce site soit également contaminé par un malware du/des même auteur/s.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *