Trojan Clicker à travers une extension Firefox

Vu en allant sur un site un peu olé olé.
Un faux codec qui propose une extension Firefox :


L’extension se fait passer pour Flash Player d’Adobe :

c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\.autoreg
Size: 0 bytes
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\bookmarkbackups\bookmarks-2012-03-25.json
Size: 7 942 bytes
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\flash@adobee.com\chrome.manifest
Size: 121 bytes
C:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\flash@adobee.com\install.rdf
Size: 880 bytes
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\flash@adobee.com\chrome\content\overlay.js
Size: 999 bytes
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\flash@adobee.com\chrome\content\overlay.xul
Size: 200 bytes
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\flash@adobee.com\defaults\preferences\defaults.js
Size: 110 bytes

Au redémarrage Firefox se met à surfer « tout seul » – Trojan.Clicker

Cette vidéo vous montre que Firefox se met à surfer assez longtemps.

http://www.youtube.com/watch?v=Xo_xrtO2ehk
Les connexions sont aussi effectuées dès lors que vous rafrachissez des pages. Le site suivant est contacté :

http://resultnemo.com/?keywords=gaming+zone (67.225.149.204)
http://resultnemo.com/js/jsc3.js.php 

 

Ci-dessous les connexions effectuées juste après l’installation de l’extension.
Notamment l’adresse : http://bodelike.in/in?kuzia3 en fast-flux :

bodelike.in has address 94.76.213.201
bodelike.in has address 85.17.133.213

Et pas de bol, cette adresse conduit à un exploit sur site WEB.

Le dropper se lance.
La détection est assez mauvais : http://www3.malekal.com/malwares/index.php?hash=90c371750dd629a8eab45b80f4c9f9b7 avec un beau 4/43.

Les connexions effectuées qui correspond à l’Exploit Kit : BlackHole

A l’heure où sont écrites ces lignes, la détection de l’extension est mauvaise : http://www3.malekal.com/malwares/index.php?hash=c83075883d487108339df5263540755e

SHA256: 2beb8c7d63a3be300de4e0b7bf0186468da7a3038890213d43c20e786c7e1d12
File name: test.zip
Detection ratio: 1 / 42
Analysis date: 2012-03-25 17:46:59 UTC ( 0 minute ago )ClamAV PUA.Script.Packed-2 20120325
 
 

Un malware original qui peux être assez discret si l’on ne jète pas un coup d’oeil souvent à la barre de connexion des sites qui peut malheureusement conduire à d’autres malwares (notamment le ransomware « Activité illicite Demélée » ou ZeroAccess) si les programmes installés sur l’ordinateur ne sont pas à jour.

 

EDIT

Suite à une question posé sur le savoir à savoir si cela fonctionnait sur d’autres OS que Windows : http://forum.malekal.com/question-trojan-clicker-via-extension-firefox-t36888.html

J’ai donc installé l’extension sur iceweasel (fork de Firefox sur Debian) et l’extension s’installe :

Les connexions se font. Donc l’extension fonctionne.
La joie des framework multi-OS (comme perl, php ou autres) qui permettent la porté des programmes (et donc des malwares) d’un OS à l’autre.

Reste à savoir si le malware est proposé quand on est sur GNU/Linux.

EDIT – Fin Avril 2012

Recroisé  – host chez OVH – 46.105.106.23

 

https://www.virustotal.com/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/1335771659/
SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
File name: play.php
Detection ratio: 0 / 41
Analysis date: 2012-04-30 07:40:59 UTC ( 1 minute ago ) 

 


Fausse Extension Flash Player 11 :

Google avec le message Earn Real Money!

Des sites sont contactés lors des recherches, ce qui peux provoquer des redirections Google => find-abc.com et kmi19.jk

 

TCP_MISS/200 15723 GET http://kmi19.hk/js_f.php – DIRECT/65.254.51.42 text/html
TCP_MISS/302 685 GET http://www.footprintsit.com/search/anticheat6.php?username=foreste – DIRECT/67.225.149.204 text/html
TCP_MISS/200 3190 GET http://find-abc.com/?keywords=car+dealer – DIRECT/67.225.149.204 text/html
TCP_MISS/200 585 GET http://find-abc.com/js/jsc3.js.php – DIRECT/67.225.149.204 text/html
TCP_MISS/200 14630 GET http://ssl.gstatic.com/gb/js/sem_3fda76275e50af619592c4bc8583bd52.js – DIRECT/173.194.34.15 text/javascript
TCP_MISS/504 1571 GET http://173.243.124.114/8teenporntube.com/video.gif – DIRECT/173.243.124.114 text/html
TCP_MISS/504 1539 GET http://173.243.124.114/banner1.gif – DIRECT/173.243.124.114 text/html
TCP_MISS/200 20110 GET http://www.google.fr/ – DIRECT/173.194.67.94 text/html
TCP_REFRESH_HIT/304 285 GET http://www.google.fr/xjs/_/js/s/s,st,anim,bbd,c,sb,hv,wta,cr,cdos,sk,pj,tbpr,tbui,rsn,ob,mb,lc,dict,du,ada,bihu,lu,m,tng,j,pcc,csitl/rt=j/ver=B2VtifKdmb0.en_US./d=1/rs=AItRSTP9O71E5uEx40Tp3CcBEkyFuH_Zfw – DIRECT/173.194.67.94 –
TCP_NEGATIVE_HIT/204 283 GET http://clients1.google.fr/generate_204 – NONE/- text/html
TCP_MISS/304 296 GET http://www.google.com/textinputassistant/tia.png – DIRECT/173.194.67.147 –
TCP_MISS/304 291 GET http://www.google.fr/extern_chrome/3a3f5cc2aaed0ea.js – DIRECT/173.194.67.94 –
TCP_MISS/200 15443 GET http://kmi19.hk/js_f.php – DIRECT/65.254.51.42 text/html
TCP_MISS/302 684 GET http://www.footprintsit.com/search/anticheat6.php?username=foreste – DIRECT/67.225.149.204 text/html
 
Le malware poste automatiquement des vidéos sur Facebook de type : « Kristen Stewart Was T.aped Dr@nk & HavIng S*x! », « Kristen Stewart Was T.aped Dr@nk & HavIng S*x! », « http://bit.ly/Jks3hA », « http://s14.postimage.org/bq9ag6bm9/Wc_Mb_K.png », 
Cela conduit à la page ci-dessous qui redonne l’extension ou un .exe selon le navigateur WEB : http://www3.malekal.com/malwares/index.php?&url=whynomoney.com
 
 

EDIT 6 Novembre 2012

Un autre type d’Extension Firefox avec un site qui se fait passer pour xHamster :

Cette extension Firefox récupère les mots clefs saisis sur les moteurs de recherche (pour info, les moteurs de recherche le font déjà) et provoque des redirections Google.
Les domaines utilisés au moment où sont écrites ces lignes : spns.night-hawk.net imnjuhost.com et searchvhb.com

Les liens sur lesquels vous cliquez sur les moteurs de recherche sont aussi récupérés :

Comme on peux le voir au moment du téléchargement, le nom de l’extension se nomme FlashPlayer et tente donc de se faire passer pour le player Flash d’Adobe.
Les liens Adobe de l’extension pointe vers un « mauvais » lien Google.

EDIT 28 Novembre

Simplement pour signaler qu’on peux tomber sur le site via des malvertising depuis des sites non pornographiques :

http://chicbuy.info/cpm/xxx.php
http://besthitsnow.com/ads.js
http://www.blog-hits.com/b1.php?id=indoseller&ref=http://pictures-archives-amazing.blogspot.fr/
http://www.tarakc1.net/hit.php?s=indoseller&type=2&c=0&j=1
http://lolvidie.com/l1/index.php?uri=xhamster.com/movies/1148084/bodage_with_two_russian_teenage_girls.html&id=indoseller&f=1

L’extension n’est pas détectée par les antivirus.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 51 times, 1 visits today)

3 thoughts on “Trojan Clicker à travers une extension Firefox

  1. Salut, Il y a quelque temps, un message Facebook d’un ami m’a conseillé d’aller voir une vidéo…et j’ai eu le même popup… J’étais un peu étonné et j’ai failli clicker sur « Install now ». Heureusement je ne l’ai pas fait, ton dossier détaillé me confirme que c’est bien ce que j’avais pensé…un genre d’extension malware…

    Dans ta copie d’écran …click_extension_Firefox6.png, quel est le nom de ce programme (avec un S blanc sur blason vert/orange) qui affiche la fenêtre d’avertissement « Program Launch » ? C’est pas mal pour avertir l’utilisateur d’un danger, je suppose qu’il s’agit d’un firewall ?

    Merci pour toutes ces infos utiles que tu partages sur malekal.com.

  2. Est ce que tu sais si il suffit de désinstaller l’extension Firefox pour supprimer le malware ou bien est ce qu’il s’incruste autre part ? Merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *