site de streaming et Malware Advertisement et infections

Depuis plusieurs mois, les rogues sont en vogue (ex Septembre dernier avec SecurityTools http://forum.malekal.com/perturbation-lenteurs-forum-site-t28586.html ). Il semblerait que les sites de streaming en soient en partie la cause.
Les Malware Advertisement y prolifèrent, à commencer par les Faux plugins VLC, on peut aussi avoir des publicités qui installent directement des  rogues/infections ou affichent de fausses pages de scan/alertes.

Quelques liens de sujets parlant de rogues attrapés sur des sites de streaming :

Traquer ces infections est assez difficile car il faut tomber sur la publicité et ensuite pouvoir déterminer quelle publicité/bannière en est la cause.
En surfant sur des sites de streaming je suis tombé sur une publicité pourrie.

Dans cet exemple, la source semble être trekmedia.net
Difficile de trouver des informations sur une quelconque régie de publicité de ce nom, d’autant que plusieurs noms de compagnies existent avec cette nomenclature.
trekmedia.net partage cependant la même adresse IP (173.236.89.195) que cette régie : http://www.trafficrevenue.net/

Les connexions établies :

GET http://www.trekmedia.net/getbanner.php?s=728×90
200 OK (text/html) 

GET http://ad.adfunky.com/st?ad_type=iframe&ad_size=120×600&section=1753269
200 OK ()

GET http://ad.globaltakeoff.net/st?ad_type=iframe&ad_size=160×600&section=1728676
200 OK ()

GET http://ad.globaltakeoff.net/st?ad_type=iframe&ad_size=160×600&section=1728676
200 OK ()

GET http://ad.globaltakeoff.net/st?ad_type=iframe&ad_size=160×600&section=1728676
200 OK ()

GET http://www.pasadserver.com/loadbanner.php?size=160×600&section=1753269
302 Found to http://ad.adfunky.com/st?ad_type=iframe&ad_size=160×600&section=1753269

GET http://www.pasadserver.com/loadbanner.php?size=160×600&section=1753269
408 Request Time-out (text/html)

GET http://www.pasadserver.com/loadbanner.php?size=160×600&section=1753269
302 Found to http://ad.adfunky.com/st?ad_type=iframe&ad_size=160×600&section=1753269

GET http://ad.adfunky.com/st?ad_type=iframe&ad_size=160×600&section=1753269
200 OK ()

GET http://ad.globaltakeoff.net/st?ad_type=iframe&ad_size=728×90&section=1728676
200 OK ()

GET http://ad.globaltakeoff.net/st?ad_type=iframe&ad_size=728×90&section=1728676
200 OK ()

GET http://ad.globaltakeoff.net/st?ad_type=iframe&ad_size=728×90&section=1728676
200 OK ()

GET http://www.pasadserver.com/loadbanner.php?size=728×90&section=1753269
302 Found to http://ad.adfunky.com/st?ad_type=iframe&ad_size=728×90&section=1753269

GET http://ad.adfunky.com/st?ad_type=iframe&ad_size=160×600&section=1753269
200 OK ()

GET http://ad.adfunky.com/st?ad_type=iframe&ad_size=728×90&section=1753269
200 OK ()

GET http://www.pasadserver.com/loadbanner.php?size=728×90&section=1753269
302 Found to http://ad.adfunky.com/st?ad_type=iframe&ad_size=728×90&section=1753269

GET http://www.hyperfind.net/p.php?premium=1
302 Found to http://www.hyperfind.net/search.php?username=grimes&query=GPS+Store

GET http://ad.adfunky.com/st?ad_type=iframe&ad_size=728×90&section=1753269
200 OK ()

GET http://searchc.net/fsearch.php?host=mybestclick.net&username=highscreen&query=location+de+voitures+Majorque
302 Found to http://www.mybestclick.net/re.php?sid=1824377933&link=7C6B3F12&tu=46924

GET http://www.hyperfind.net/search.php?username=grimes&query=GPS+Store
200 OK (text/html)

GET http://l73.lookfeed.net/t.php
200 OK (text/html)

GET http://b1.acas.kz:81/in.cgi?3
302 Found to http://getbonus.1poundclick.co.uk/ywdngzevkw.php?n=MIXSEMEN

b1.acas.kz est le rotator qui conduit à getbonus.1poundclick.co.uk qui contient des exploits pour télécharger et exécuter le dropper malicieux :

Le dropper est à l’adresse : http://194.247.58.51/ir7.php?i=15 qui s’avère être un SPAMBot.

http://virscan.org/report/28f9502884a59a22d74cd085a04146ce.html

VirSCAN.org Scanned Report :
Scanned time   : 2011/02/28 11:47:56 (CET)
Scanner results: 16% (6/37) a trouvé un malware !
File Name      : file.exe
File Size      : 21504 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : d01ed982d713b5feae35cb68b7190ca1
SHA1           : 77a017ba8812f9ce78bf07e421bdbad3650ce720
Online report  : http://virscan.org/report/28f9502884a59a22d74cd085a04146ce.html 

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110216210205    2011-02-16  0.40   –
AhnLab V3      2011.02.28.05   2011.02.28        2011-02-28  2.01   –
AntiVir        8.2.4.176       7.11.3.242        2011-02-28  0.29   –
Antiy          2.0.18          20110217.7833565  2011-02-17  0.14   –
Arcavir        2010            201102281658      2011-02-28  0.12   –
Authentium     5.1.1           201102272212      2011-02-27  2.22   –
AVAST!         4.7.4           110227-1          2011-02-27  0.01   –
AVG            8.5.850         271.1.1/3472      2011-02-28  0.51   –
BitDefender    7.90123.6722990 7.36448           2011-02-28  6.72   –
ClamAV         0.96.5          12786             2011-02-28  0.05   –
Comodo         4.0             7828              2011-02-28  1.27   Heur.Packed.Unknown
CP Secure      1.3.0.5         2011.02.28        2011-02-28  0.11   –
Dr.Web         5.0.2.3300      2011.02.28        2011-02-28  11.91  –
F-Prot         4.4.4.56        20110227          2011-02-27  2.08   –
F-Secure       7.02.73807      2011.02.28.04     2011-02-28  0.24   –
Fortinet       4.2.254         12.944            2011-02-27  0.45   W32/Bamital.FA!tr
GData          21.1907/21.716  20110228          2011-02-28  8.92   –
ViRobot        20110228        2011.02.28        2011-02-28  0.41   –
Ikarus         T3.1.32.15.0    2011.02.28.77822  2011-02-28  5.48   Trojan-Ransom.Win32.PornoBlocker
JiangMin       13.0.900        2011.02.26        2011-02-26  1.51   –
Kaspersky      5.5.10          2011.02.28        2011-02-28  0.18   –
KingSoft       2009.2.5.15     2011.2.28.14      2011-02-28  0.77   –
McAfee         5400.1158       6270              2011-02-27  7.48   PWS-Zbot.gen.do
Microsoft      1.6603          2011.02.27        2011-02-27  5.08   –
NOD32          3.0.21          5907              2011-02-25  0.55   –
Norman         6.07.03         6.07.00           2011-02-27  12.02  –
Panda          9.05.01         2011.02.27        2011-02-27  4.76   –
Trend Micro    9.200-1012      7.864.04          2011-02-27  0.07   TROJ_SPYEYE.SMEP
Quick Heal     11.00           2011.02.28        2011-02-28  1.21   –
Rising         20.0            23.47.00.03       2011-02-28  3.10   [Suspicious]
Sophos         3.16.1          4.62              2011-02-28  3.19   –
Sunbelt        3.9.2474.2      8561              2011-02-27  1.17   –
Symantec       1.3.0.24        20110227.003      2011-02-27  0.13   –
nProtect       20110228.01     3214783           2011-02-28  6.71   –
The Hacker     6.7.0.1         v00140            2011-02-27  0.49   –
VBA32          3.12.14.3       20110227.1621     2011-02-27  5.12   –
VirusBuster    5.2.0.28        13.6.225.2/45861952011-02-27  0.00   –

Encore une fois, la sécurisation de son navigateur WEB s’avère primordiale : http://www.malekal.com/2010/11/12/securiser-le-navigateur-web-firefox-2/

Encore…

Toujours en source : hxtp://www.trekmedia.net/rvp.php

GET http://w0.five-mountain.org:81/in.cgi?3
302 Found to http://moneyback.designerhandles.co/ywdngzevkw.php?n=MIXSEMEN 

GET http://moneyback.designerhandles.co/ywdngzevkw.php?n=MIXSEMEN
200 OK (text/html)

GET http://moneyback.designerhandles.co/dududu.js
200 OK (application/javascript)

GET http://194.247.58.51/ir7.php?i=15
200 OK (application/octet-stream)

GET http://moneyback.designerhandles.co/joeziljthldpdmk.html
200 OK (text/html)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 96 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *