redir.ballysbs.com malvertising (fake 888poker.fr)

Une autre malvertising via une applet SWF sur redir.ballysbs.com

Domain Name: BALLYSBS.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: NS1.AFRAID.ORG
Name Server: NS1.FREEDNS.WS
Name Server: NS2.AFRAID.ORG
Name Server: NS2.FREEDNS.WS
Status: clientTransferProhibited
Updated Date: 11-dec-2012
Creation Date: 08-dec-2012
Expiration Date: 08-dec-2013

Registrant Contact:
Private
John Young ()

Fax:
jl.kuningan no 33
JakSel, Jakarta 12785
ID

Administrative Contact:
Private
John Young (swtoto888@gmail.com)
+62.085319062831
Fax:
jl.kuningan no 33
JakSel, Jakarta 12785
ID

malvertising_redir_ballysb
L’infection utilise un TDS http://ads.nasipecelmadiun.com/adsnmb.cgi?3 (188.72.202.169 NETDIRECT-NET).
Ce dernier redirige vers l’exploit kit : http://tj5jjk.northernpalmbeachcounty.com/lis8DpSfoiE5ITNYeL8xDlcofgK8malvertising_redir_ballysb2
Dans le code source de la page, on voit qu’une page du site de Casino 888.com est référencée (elle n’existe plus) et que la page charge aussi une applet SWF : malvertising_redir_ballysb3
C’est cette applet qui provoque la redirection en créant une iframe : malvertising_redir_ballysb4

La SWF n’est pas détectée : http://malwaredb.malekal.com/index.php?hash=0aeeb8d8d9457e3dd7662f3b308c9bcb

https://www.virustotal.com/fr/file/76e06abca3f8b1ea33e60e4082cb47a31e2a8a5b00e25d593ddbcb94af0ca61f/analysis/1361954392/

SHA256: 76e06abca3f8b1ea33e60e4082cb47a31e2a8a5b00e25d593ddbcb94af0ca61f
Nom du fichier : logo.swf
Ratio de détection : 0 / 46
Date d’analyse : 2013-02-27 08:39:52 UTC (il y a 0 minute)

Le dropper : http://malwaredb.malekal.com/index.php?hash=4432cd9516926d344223afcfae795f59

EDIT 22 Mars

De nouveau tombé dessus :

http://miva.egtmedia.com/bantid.cgi?3 (188.72.202.169)
http://888.rahon.org/images/subid_937162545.html (8.29.154.138)

malvertising_poker_rahon.org

malvertising_poker_rahon.org2

La détection est plutôt bonne pour un Urausy en liberté : http://malwaredb.malekal.com/index.php?hash=cf23bfe0730ae2312a5911186d665535

https://www.virustotal.com/fr/file/ae8a272df98b02d31965131250ef2778ead4228e2b31423b2723eff7345c1673/analysis/1363907608/

SHA256: ae8a272df98b02d31965131250ef2778ead4228e2b31423b2723eff7345c1673
Nom du fichier : Software.exe.__ProductName
Ratio de détection : 8 / 41
Date d’analyse : 2013-03-21 23:13:28 UTC (il y a 0 minute)
AhnLab-V3 Trojan/Win32.Foreign 20130321
CAT-QuickHeal (Suspicious) – DNAScan 20130321
ESET-NOD32 a variant of Win32/Kryptik.AXDB 20130321
Kaspersky UDS:DangerousObject.Multi.Generic 20130321
Malwarebytes Trojan.Winlock 20130321
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.J!80 20130321
Norman Hlux.VQ 20130321
Panda Suspicious file 20130321

Print Friendly, PDF & Email
(Visité 63 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet