Malvertising TrafficHolder et Multi-infection et nouveau ransomware

Une autre malvertising chez Trafficholder qui rammène pas mal de merdes.

Divers TDS et autres liens annexes :


pour arriver à l‘Exploit Kit :

Trojan.Karagany :

La clef Run du Ransomware :

 

La traduction laisse à désirer : Sur Votre ordinateur est infecté!
Votre ordinateur est infecté par cheval de troie Fenêtre casier.
Ce programme a bloqué l’accès à tous les fichiers et supports amovibles de votre ordinateur.

 

 

 

Le ransomware se connecte aux URLs suivantes :

TCP_MISS/200 346 GET http://fglolituns.in/fimage/gate.php?uid=%7BC83DD661-86CD-A0A5-20FE-3146B34C5FCB%7D&user=eldar&os=2 – DIRECT/85.17.225.15 text/html
TCP_MISS/200 101651 GET http://fglolituns.in/pic/FRTujP.dat – DIRECT/85.17.225.15 text/plain
TCP_MISS/200 61304 GET http://fglolituns.in/pic/FRBukF.dat – DIRECT/85.17.225.15 text/plain
TCP_MISS/200 342 POST http://3dmaxstudy50.in/image/eldar/price.php – DIRECT/64.62.146.81 text/html

On trouve un fichier ips.txt

de 7985 lignes …. en sachant que mon IP est dedans, il y a des chances que ce soit la liste des IP des machines infectées …

L’exploit installe aussi :

 

Voici un résumé des connexions effectuées :

http://www.trafficholder.com/in/in.php?nuvid
http://cf.addthis.com/red/p.json?vr=250&rev=114791&rb=5&gen=100&sid=4ff858368e23b70b&callback=_ate.ad.hrr&pub=ducat&chr=UTF-8&cb=1&uid=4ff80646765a2825&url=http%3A%2F%2Fwww.nuvid.com%2Fvideo%2F123196%2Fgerman-milf-in-anal-action-with-2-guys&ref=http%3A%2F%2Fwww.coqnu.com%2Fsearch%2F%3Fq%3DAllemand%26kwid%3D273567%26c%3D1&fpl1l7
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=nuvid&n=&r=
http://www.adultindo.com/ (176.9.82.77)
http://www.adultindo.com/1010/in.cgi?default&gqkqw=0&awnez=0&gmqni=1942305932&ur=1&HTTP_REFERER=http%3A%2F%2Fwww%2Enuvid%2Ecom%2Ftracker%2Ephp%3Ftarget%3Dplayer%26click%3D1%26url%3D1
http://www.adultindo.com/1010/in.cgi?default&gqkqw=0&awnez=0&gmqni=1942305932&ur=1&HTTP_REFERER=http%3A%2F%2Fwww%2Enuvid%2Ecom%2Ftracker%2Ephp%3Ftarget%3Dplayer%26click%3D1%26url%3D1&CS=1
http://sexylovegin.com/1010/in.cgi?11 (176.9.82.77)
http://sexylovegin.com/vse.php
http://iibys.tk/17014221.html (95.168.187.211)
http://iibys.tk/33256.jar
http://iibys.tk/33256.jar
http://iibys.tk/3.html

 

A noter que l’Exploit Kit se connecte à d’autres URLs :

 


qui donne une fausse page de scan
pour refourguer un Setup.exe :

Ce dernier ne fonctionne pas sur VM.

 

Les détections sont assez moisies :

 

 EDIT – 9 Juillet

TrafficHolder a supprimé la malvertising.

 

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 53 times, 1 visits today)

One thought on “Malvertising TrafficHolder et Multi-infection et nouveau ransomware

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *