Spam Malicieux : Facebook Account Verification => Scarewares

Reçu par un mail, un faux mail se faisant passer pour Facebook disant que le compte est bloqué.
On peux pas dire qu’ils se sont foulés, vu qu’il y a même pas les couleurs et logo habituels des mails Facebook.

Spam_Account_Verification_Scareware
En cliquant sur le lien, on obtient la popup suivante – disant que Microsoft Antivirus a trouvé une actvitié anormale sur le PC.

Spam_Account_Verification_Scareware2
puis on obtient une fausse page Microsoft Security Essentians Alert qui balance un exe malicieux : https://www.virustotal.com/file/2d55f31e0623ba8c068f88bbb9ae7e169cd9456414c2205eb0616408fc346cab/analysis/
SHA256: 2d55f31e0623ba8c068f88bbb9ae7e169cd9456414c2205eb0616408fc346cab
File name: 97e10b1733da7d4d1b1379acbe4f0ecb
Detection ratio: 7 / 45
Analysis date: 2012-12-19 08:49:01 UTC ( 1 heure, 52 minutes ago )

AntiVir TR/Crypt.ZPACK.Gen2 20121219
BitDefender Gen:Variant.Strictor.18747 20121219
F-Secure Gen:Variant.Strictor.18747 20121219
GData Gen:Variant.Strictor.18747 20121219
Kaspersky UDS:DangerousObject.Multi.Generic 20121219
MicroWorld-eScan Gen:Variant.Strictor.18747 20121219
Rising Trojan.FakeAV!4D83 20121219

Spam_Account_Verification_Scareware3
Ce dernier droppe un Scareware/Rogue Spam_Account_Verification_Scareware4
Ce dernier est de type FakeRean : http://forum.malekal.com/win32-fakerean-t23860.html (Ancienne famille Braviax)
Le nom est aléatoire, dans mon cas, je suis tombé sur XP Total Security

Spam_Account_Verification_Scareware5

Le malware bloque aussi la consultation des pages WEB avec un message de type : Visiting this site may pose a security threat to your system ! Spam_Account_Verification_Scareware6

Cette infection est aussi propagée par des Exploit Kit.
On peux avoir la fausse page  Microsoft Security Essentians Alert + un Exploit Kit.Spam_Account_Verification_Scareware7Celui-ci conduit à un jar qui embarque le dropper.

Spam_Account_Verification_Scareware8

Celui-ci donne XP Anti-Spyware 2011. Oui 2011, pas vraiment à jour.
Poutant la version 2013 existe bien => http://forum.malekal.com/antivirus-2013-t41370.htmlSpam_Account_Verification_Scareware9

et surtout la version Exploit Kit embarque Trojan.Necurs (Necurses.A – Janvier 2012).
D’ailleurs Microsoft a d’ailleurs alerté sur la propagation massive de ce malware – ce dernier toucherai environ 80 000 machines : http://blogs.technet.com/b/mmpc/archive/2012/12/07/unexpected-reboot-necurs.aspx
Spam_Account_Verification_Scareware10

Trojan.Necurs est téléchargé par le scareware a des adresses de type : host/data.exe
La détection est du type : https://www.virustotal.com/file/ebbfe2287237837a32e1482edea2c644e879be9b19c0cea9da92b06f3b8cee9c/analysis/

SHA256: ebbfe2287237837a32e1482edea2c644e879be9b19c0cea9da92b06f3b8cee9c
File name: data.exe
Detection ratio: 9 / 44
Analysis date: 2012-12-19 10:58:52 UTC ( 3 minutes ago )

BitDefender Gen:Trojan.Relhis.4 20121219
ESET-NOD32 a variant of Win32/Kryptik.AQUN 20121219
F-Secure Gen:Trojan.Relhis.4 20121219
GData Trojan.Generic.KDZ.2230 20121219
Microsoft Trojan:Win32/Necurs.gen!A 20121219
MicroWorld-eScan Trojan.Generic.KDZ.2230 20121219
SUPERAntiSpyware Trojan.Agent/Gen-RogueRel 20121219
VIPRE RiskTool.Win32.ProcessPatcher.Nor!cobra (v) (not malicious) 20121219

Spam_Account_Verification_Scareware11

Encore hier, d’autres détections avec la version Microsoft Security Essentians Alert + un Exploit Kit.
Spam_Account_Verification_Scareware12

A noter que par le passé ce kit renvoyait du Security Shield.

EDIT 21 Février

Et aussi par malvertising, merci Clicksor :
http://mytrafficexport01.info/?abd5a32e33fcb35015a8e02464e44c6a (91.232.29.78)
http://cdn.mytrafficexport01.info/?089d85e824a444b9a35eff9966f524f6
http://cpafixadvertiser.info/ (5.9.172.73)
http://mxvrqop.wikaba.com/vd/145;b34671c6d1aefd2caafdd02c621cc46c (46.166.169.238)
http://ret.anygadget.info/ (redirecton par iframe vers klmcmgrig.it.cx/)
http://klmcmgrig.it.cx/index.php?c=RaENOjEayDF925cOxP3ACC60zajgAjCTlcK0liAaKtrMheVQzm+YhzfWz1MPnw1S6zBdyf5Hf5ejna4gUAHw4KuCyoM= (95.141.28.91)

Microsoft_Security_Essentials_Alert2

La fausse page propose un fichier security_alert.exe : http://malwaredb.malekal.com/index.php?hash=c27302746c28852eabff012640ae728c

https://www.virustotal.com/fr/file/52e32609bdb1518b3e49c603edfbe14c4a9c4cb10492117cbdf8add6f15abc42/analysis/1361481905/

SHA256: 52e32609bdb1518b3e49c603edfbe14c4a9c4cb10492117cbdf8add6f15abc42

Nom du fichier : rekeywiz.exe
Ratio de détection : 4 / 46
Date d’analyse : 2013-02-21 21:25:05 UTC (il y a 0 minute)Fortinet W32/Zbot.ANQ!tr 20130221
Kaspersky UDS:DangerousObject.Multi.Generic 20130221
Panda Suspicious file 20130221
Rising Suspicious 20130205

Microsoft_Security_Essentials_Alert

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 30 times, 1 visits today)

5 thoughts on “Spam Malicieux : Facebook Account Verification => Scarewares

  1. Bonjour,

    j’aimerais savoir si ça peu infecter les MAC, car j’en ai reçus un moi aussi et j’ai cliqué sur le lien dans le mail, mais pas le reste.

    J’ai besoin d’un réponse rapidement,
    Merci par avance,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *