Malvertising sur h2porn.com (ZeroAccess/Sirefef)

Une malvertising sur h2porn (site de streaming pornographique) qui est rankgé 700 sur Alexa.com 

Les liens :
http://adv.h2porn.com/adspot.php?spot_id=9&rnd=1341913064
http://cdn1.adscamp.net/gif/98.html?id=945021
http://aejhhcdjj.co.cc/iniframe/e60aef7f5ca25aa7a6342a6e49dc153b/52/2d05cc008c35fd77162828f7e6b31dc6/11aedd0e432747c2bcd97b82808d24a0
http://acgccgjjf.co.cc/forum/index.php?showtopic=856074
http://acgccgjjf.co.cc/forum/detect/mm.js
http://acgccgjjf.co.cc/forum/gotit.php?i=3&key=2540223924241b1b48add6cbb27f461e
http://acgccgjjf.co.cc/forum/gotit.php?i=4&key=921eb47f1d06528f49d77f2b8a4ef371
http://acgccgjjf.co.cc/forum/gotit.php?i=4&key=921eb47f1d06528f49d77f2b8a4ef371
http://acgccgjjf.co.cc/forum/Ini.class
http://acgccgjjf.co.cc/forum/Ini/class.class

Dans la page iniframe, on a la malvertising et l’iframe qui charge l’Exploit kit

La malvertising avec Java qui lance le dropper

h2porn_malvertising4

Pourquoi je fais un billet sur cette malvertising qui n’a rien d’exceptionnelle ?
Tout simplement car c’est le même groupe que celle qui est sur pornerbros dont j’avais parlé en Avril : https://www.malekal.com/2012/04/20/pornerbros-com-conduit-a-des-infections-via-des-exploits/

Celle-ci est toujours en ligne, malgrè après avoir contacté les webmasters de pornerbros : https://www.malekal.com/2012/05/24/malvertising-les-bons-et-mauvais-points/

Les deux URLs ont la même IP :

ads7.complexadvertising.com has address 94.228.222.10 <= pornerbros
cdn1.adscamp.net has address 94.228.222.10 <= h2porn

Dans le cas de h2porn, c’est la même chose que pour pornerbros, c’est le site qui charge directement la malvertising sans passer par une quelconque régie.
Je vais essayer de les contacter mais je commence sérieusement à me demander, si ce n’est pas volontaire car pornerbros ne s’est vraiment pas bougé les fesses.
Peux-être que les auteurs de malwares offrent de meilleurs prix pour charger leurs merdes que les publicités habituelles…

La détection des derniers droppers est bonne (jusqu’à la prochaine mise à jour). C’est du ZeroAccess/Sirefef qui est refourgué.

 

Print Friendly, PDF & Email
(Visité 374 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet