Security Shield : Malvertising yieldmanager sur site de streaming

En allant chercher un dropper du Virus Gendarmerie via la malvertising clicksor sur les sites de streaming, je suis tombé sur un dropper du rogue : Windows Secure Kit 2012.

http://ads.pixfuture.net/www/delivery/afr.php?zoneid=729
http://ad.yieldmanager.com/st?ad_type=iframe&ad_size=728×90&section=2697222
http://ad.yieldmanager.com/st?ad_type=iframe&ad_size=728×90&section=2697222
http://ad.yieldmanager.com/imp?Z=728×90&s=2697222&_salt=2342669471&B=10&u=http%3A%2F%2Fads.pixfuture.net%2Fwww%2Fdelivery%2Fafr.php%3Fzoneid%3D729&r=0
http://media-cw.com/files/iframes/cw-728×90.html
http://media-cw.com/in.cgi?12&cid=dwn1eu&tz=1
http://server58.magazinebaskets.uni.me/?q=MzIxODA1MWRrUC/4Ik1WAFluak5wUmRVWWJsdWhoeVl1TlBYT092S1hXSGVmSk5BU20AMTFjYjFmZmMyN2M5Mjc0NWIyYmYyOTI5MDgzOTI4YjEzYjZhZTAzODg5NTJlNzhmYTY3M2FhNTkwYzBkNWQ5YzY5ODRlZjRjOGQ2YzhkODQARktxZmJ6aU4xMzMwNjI5NjE4T0Z3TEdnVHpWSzc=
http://server58.magazinebaskets.uni.me/index/down/ (82.208.40.4)
 
 

La bannière malicieuse :

 
 
 

On arrive pas sur un exploit sur site WEB mais une fausse page de scan pour faire télécharger du rogue/scareware avec une alerte Windows Securre Kit 2012

qui donne le rogue/scareware Security Shield : http://forum.malekal.com/security-shield-t30256.html#p239490

Le dropper est recompilé par le serveur WEB :  http://www3.malekal.com/malwares/index.php?hash=26dff9e0caabfdf3a532e4de9e9060b1

SHA256: f3dbbf18b1cb6dd3e27c24cb93dbd649c3bd8079d8629404d84a31553ae8e234
File name: 26dff9e0caabfdf3a532e4de9e9060b1
Detection ratio: 2 / 43
Analysis date: 2012-03-01 19:31:45 UTC ( 25 minutes ago )
AhnLab-V3    Trojan/Win32.FakeAV    20120301
Fortinet    W32/Kryptik.MUH!tr    20120301 

Security Shield

Un nouveau malvertising donc, je pense qu’elle sera moins présente que celle de clicksor qu’on retrouve vraiment partout.
Si le principe des malvertising, on voit que le fait de viser les sites de streaming qui ont une forte audiance, permet de toucher un maximum d’internautes.
La publicité maillon faible de la sécurité ?

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 20 times, 1 visits today)

5 thoughts on “Security Shield : Malvertising yieldmanager sur site de streaming

  1. Utilisant Linux; j’utilise votre méthode pour récupérer moi aussi des droppers. Certains que je teste sur VirusTotal ne sont pas détectés à la première analyse. Auriez vous une explication à ça?

    Cordialement.

  2. Salut Malekal,

    Les droppers malicieux ne finissent pas par être détectés une fois leur signature connue??
    Oui j’aurais du être plus précis dans ma formulation; sorry.

    PS: Entre nous y en a un paquet que je loupe; vu qu’ils ne peuvent s’installer tranquillement dans mon système.

    @+

  3. J’oubliais; après recoupements sur le net, je te confirme que ceux que j’ai dans ma p’tite boutique des horreurs ne sont pas des fakes 😉

  4. Le but des dropper et autres crypteurs c’est justement d’empêcher la détection..
    De plus comme c’est tres simple a coder il peut y en avoir des milliers alors pour les anti virus…

    Cela dit, on peut utiliser des détections génériques mais c’est empirique

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *