Malvertising sur drtuber.com à travers trafficholder.com

Une nouvelle Malvertising qui au moment où sont écrites ces lignes conduit au Virus Sacem.
La malvertising est en autre présente sur le site de streaming pornographique drtuber.com à travers la régie trafficholder.com

Le ranking Alexa.com est assez elevé, ce qui confirme encore que les malvertising sont bien des portes d’entrée pour les sites à haut traffic et que les sites pornographiques sont bien visés, comme je disais dans le précédent billet : Revue de Presse : rapport Symantec et les malvertising ?

hit.trafficholder.com conduit à sun-porno-movies.info (88.214.202.129 – GB)

Ce dernier peux occassionnellement rediriger vers l’exploit Kit, ici du BlackHole

On peux aussi être redirigé vers une publicité classique chez livejasmin.com – Celle-ci est non malicieuse.

Les connexions :

http://www.drtuber.com/player/config.php?h=19f299e1cd07fe4d6b3067718ddd30ef&t=1336560825&vkey=96210e27daca419914d8&pkey=66b58c28d97ab4a9a83aa21545a96bf7
http://www.drtuber.com/tracker.php?target=player&click=1&url=1
http://www.drtuber.com/th.php
http://www.trafficholder.com/in/in.php?drtuber
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=drtuber&n=&r=
http://sun-porno-movies.info/2/go.php?sid=1
http://relativea.floweroflifebodywork.com/index.php?p=60753f03fbbd2605
http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20
http://relativea.floweroflifebodywork.com/data/hhcp.php?c=e2e20
http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20
http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20
http://relativea.floweroflifebodywork.com/Cal.jar
http://50.7.235.227/w.php?f=e2e20&e=0
http://50.7.235.227/w.php?f=e2e20&e=3

La détection :

https://www.virustotal.com/file/7871359b2529d9e9811834183bac3caf780e9688318540baa2d6dcfb88aeb8ac/analysis/

HA256:	7871359b2529d9e9811834183bac3caf780e9688318540baa2d6dcfb88aeb8ac
File name:	a23bfc97e2bc46d272f5eece97a44610
Detection ratio:	6 / 42
Analysis date:	 2012-05-09 10:54:50 UTC ( 14 minutes ago )

AhnLab-V3	Trojan/Win32.Plosa	20120508
Avast	Win32:Dropper-KVS [Drp]	20120509
Comodo	TrojWare.Win32.Kryptik.ASR	20120509
GData	Win32:Dropper-KVS 	20120509
Kaspersky	HEUR:Trojan.Win32.Generic	20120509

A noter que ce n’est pas la première fois que cette IP délivre des ransomwares Fake Police.
Pas mal de BlackHole avec des domaines différentes conduisent au final à celle-ci : http://www3.malekal.com/malwares/index.php?&url=50.7.235.227

Les adresses du Virus Sacem contactées dans mon cas :

TCP_MISS/302 499 GET http://dersupermarketer.com/partner3/redirector/redirector.php - DIRECT/195.208.185.40 text/html
TCP_MISS/200 2477 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/index.php - DIRECT/195.208.185.40 text/html
TCP_MISS/302 499 GET http://dersupermarketer.com/partner3/redirector/redirector.php - DIRECT/195.208.185.40 text/html
TCP_MISS/200 3488 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/fresh_buttons/buttons.css - DIRECT/195.208.185.40 text/css
TCP_MISS/200 39008 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/bg_fr.gif - DIRECT/195.208.185.40 image/gif
TCP_MISS/200 976 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/js/keyboard.js - DIRECT/195.208.185.40 application/javascript
TCP_MISS/200 327 GET http://dersupermarketer.com/partner3/universalpanel/gate.php?hwid=[removed]&pc=[removed]&localip=[removed]&winver=Windows%20XP%20Professional%20x32 - DIRECT/195.208.185.40 text/html

Il semblerait d’après cette page http://trafficholder.com/top.html que trafficbroker.com et trafficholder.com soient liés, or trafficbroker.com a aussi des problèmes de malvertising http://www.malekal.com/2012/04/21/malvertising-delivery-trafficbroker-com-delivre-ransomware-activite-illicite-demelee/

On comprend alors pourquoi la campagne de ce ransomware est très virulente depuis quelques temps :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 127 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *