redir.ballysbs.com malvertising (fake 888poker.fr)

Une autre malvertising via une applet SWF sur redir.ballysbs.com

Domain Name: BALLYSBS.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: NS1.AFRAID.ORG
Name Server: NS1.FREEDNS.WS
Name Server: NS2.AFRAID.ORG
Name Server: NS2.FREEDNS.WS
Status: clientTransferProhibited
Updated Date: 11-dec-2012
Creation Date: 08-dec-2012
Expiration Date: 08-dec-2013

Registrant Contact:
Private
John Young ()

Fax:
jl.kuningan no 33
JakSel, Jakarta 12785
ID

Administrative Contact:
Private
John Young (swtoto888@gmail.com)
+62.085319062831
Fax:
jl.kuningan no 33
JakSel, Jakarta 12785
ID

malvertising_redir_ballysb
L’infection utilise un TDS http://ads.nasipecelmadiun.com/adsnmb.cgi?3 (188.72.202.169 NETDIRECT-NET).
Ce dernier redirige vers l’exploit kit : http://tj5jjk.northernpalmbeachcounty.com/lis8DpSfoiE5ITNYeL8xDlcofgK8malvertising_redir_ballysb2


Dans le code source de la page, on voit qu’une page du site de Casino 888.com est référencée (elle n’existe plus) et que la page charge aussi une applet SWF : malvertising_redir_ballysb3
C’est cette applet qui provoque la redirection en créant une iframe : malvertising_redir_ballysb4

La SWF n’est pas détectée : http://malwaredb.malekal.com/index.php?hash=0aeeb8d8d9457e3dd7662f3b308c9bcb

https://www.virustotal.com/fr/file/76e06abca3f8b1ea33e60e4082cb47a31e2a8a5b00e25d593ddbcb94af0ca61f/analysis/1361954392/

SHA256: 76e06abca3f8b1ea33e60e4082cb47a31e2a8a5b00e25d593ddbcb94af0ca61f
Nom du fichier : logo.swf
Ratio de détection : 0 / 46
Date d’analyse : 2013-02-27 08:39:52 UTC (il y a 0 minute)

Le dropper : http://malwaredb.malekal.com/index.php?hash=4432cd9516926d344223afcfae795f59

EDIT 22 Mars

De nouveau tombé dessus :

http://miva.egtmedia.com/bantid.cgi?3 (188.72.202.169)
http://888.rahon.org/images/subid_937162545.html (8.29.154.138)

malvertising_poker_rahon.org

malvertising_poker_rahon.org2

La détection est plutôt bonne pour un Urausy en liberté : http://malwaredb.malekal.com/index.php?hash=cf23bfe0730ae2312a5911186d665535

https://www.virustotal.com/fr/file/ae8a272df98b02d31965131250ef2778ead4228e2b31423b2723eff7345c1673/analysis/1363907608/

SHA256: ae8a272df98b02d31965131250ef2778ead4228e2b31423b2723eff7345c1673
Nom du fichier : Software.exe.__ProductName
Ratio de détection : 8 / 41
Date d’analyse : 2013-03-21 23:13:28 UTC (il y a 0 minute)
AhnLab-V3 Trojan/Win32.Foreign 20130321
CAT-QuickHeal (Suspicious) – DNAScan 20130321
ESET-NOD32 a variant of Win32/Kryptik.AXDB 20130321
Kaspersky UDS:DangerousObject.Multi.Generic 20130321
Malwarebytes Trojan.Winlock 20130321
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.J!80 20130321
Norman Hlux.VQ 20130321
Panda Suspicious file 20130321

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 31 times, 1 visits today)

6 thoughts on “redir.ballysbs.com malvertising (fake 888poker.fr)

  1. Merci Malekalmorte pour l’info, par contre j’avais oublié de te demander aussi (!), quel est ce prog qui te sers à monitorer les modifs effectuées sur la BdR?
    Merci d’avance.

  2. Ok j’ai trouvé finalement, c’est System Safety Monitor , je l’ai même retrouvé sur un vieux dur rangé dans un coin, la version 2.0.8, mais apparemment le produit n’ai pas ou plus suivi.

    Bonne continuation.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *