Trojan.Win32.Jorik.Skor : Warez Blog Power

Trojan.Win32.Jorik.Skor est une famille de malware très active qui se propage par faux codecs etcracks/keygens (peut-être installé par d’autres botnets comme par exemple les Backdoor.IRC).

Voici un exemple d’un dropper de cette famile ramassé sur un blog Warez à l’heure où sont écrites ces lignes : http://droolenway.org/

et bien sûr le topic relatif à cette famille : Trojan.Renos/Trojan.FakeAlert – Dropper

Zoom sur les sites Warez

Un des aspect pour distribuer cette famille est de créer une multitude de faux site Warez qui propose des logiciels, crack/keygen.

L’internaute qui cherche sur Google un crack pour un logiciel en particulier risque de tomber alors sur un des faux blogs :

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog PowerLes faux blogs partagent une même charte graphique avec en haut des liens de téléchargement de cracks/keygen, repris en bas des pages.

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog Power

Trojan.Win32.Jorik.Skor : Warez blog PowerAfin d’augmenter le ranking des sites, ces derniers sont interlinkés en autre eux.

Trojan.Win32.Jorik.Skor : Warez blog Power

Quelques adresses

Un petit zoom sur les adresses montre qu’on a deux classes d’IP utilisées :
alexandellen.com has address 178.239.53.151
grrrey.com has address 178.239.53.152
bigbizoo.net has address 178.239.53.151
warp2p.com has address 178.239.50.71
etx-express.com has address 178.239.53.152
mechadairysystems.com has address 178.239.50.66
meccalight.com has address 178.239.50.66

doit-4-u.com has address 217.23.15.246
cvaohn.org has address 217.23.13.244
kenborden.com has address 217.23.13.245
wnizip.com has address 217.23.5.203
p3-mail.com has address 217.23.13.240

La majorité des domaines ont pour Registrar: BIZCN.COM, INC.
et l’adresse email utilisé en contact est : LewisAFrausto@mail.com

Les deux classes se trouvent au Pays-Bas.
En cherchant un peu on arrive à récupérer d’autres adresses.
Vous pouvez aller sur les sites cela ne craint rien, tant que vous n’exécutez pas le fichier proposé (vous pouvez le télécharger voir si votre antivirus le détecte ou détecte l’adresse du blog) :

inetnum:        217.23.5.0 – 217.23.5.255
netname:        WorldStream
descr:          WorldStream IPv4.12
country:        NL
wnizip.com     A     217.23.5.203
sainser.com     A     217.23.5.203

inetnum:         178.239.50.0 – 178.239.50.255
netname:         NL-NETROUTING-IP
descr:           Netrouting Telecom
remarks:         INFRA-AW
country:         NL

alexandellen.com A     178.239.53.151
bigbizoo.net     A     178.239.53.151

etx-express.com     A     178.239.53.152
grrrey.com     A     178.239.53.152

onyxa.com     A     178.239.53.153
ver-sacrum.com     A     178.239.53.153
i-echelon.com     A     178.239.53.153
localtint.com     A     178.239.53.153

tw-design.com     A     178.239.50.71
warp2p.com     A     178.239.50.71
tylerzander.com     A     178.239.50.71
magnetsforever.com     A     178.239.50.71

zms.cc         A     178.239.50.66
sansungch.org     A     178.239.50.66
tip2mag.com     A     178.239.50.66
ow-jp.com     A     178.239.50.66
scifistore.net     A     178.239.50.66

pixelfish.net     A     178.239.50.67
spartacus-web.com A     178.239.50.67

rat-software.com A     178.239.50.68
setite.com     A     178.239.50.68

theapps.org     A     178.239.50.69
tas-seaplane.com A     178.239.50.69

tuleystavana.org A     178.239.50.70
the-warez.org     A     178.239.50.70
toutlefoot.net     A     178.239.50.70

tw-design.com     A     178.239.50.71
warp2p.com     A     178.239.50.71
tylerzander.com     A     178.239.50.71
magnetsforever.com     A     178.239.50.71

liushishi.org     A     178.239.50.72
westshor.com     A     178.239.50.72
xocit.com     A     178.239.50.72

Certainement une goûte d’eau dans le nombre de faux blogs existants, d’autant plus qu’on peux imaginer que de nouveaux apparaissent chaque jour via une mécanisme automatisé.

Réseau en étoile

Tous les warez pointent actuellement sur deux adresses différentes :

http://droolenway.org/ et hxxp://thebbflashplugin.in/Serial.Movie_Edit_Pro_15_PLUS_ED_30_SEP.45303.exe (voir sur le topic des remontés : https://forum.malekal.com/trojan-renos-trojan-fakealert-dropper-t26785-630.html#p253106 qui est partagé par les faux codecs).
Les adresses des droppers sont modifiées plusieurs fois par jour, le dropper aussi.
Cela empêche le blacklistage de la part des antivirus.

Au niveau des  faux codecs, on retrouve exactement le même fonctionnement. Les adresses des faux plugins sont modifiés plusieurs fois par jour.

Bref une famille de malwares bien rodées depuis plusieurs années que l’on retrouve régulièrement sur les forums de désinfections.

Des liens en .rar sont proposés ici – exemple : http://easyfileworld.com/download.php?id=101939&file=Folder%20Vault%202.1.3.1003.rar

Trojan.Win32.Jorik.Skor : Warez blog Power

 

Le lien n’est qu’une façade pour rediriger vers une page de téléchargement :

malekalmorte@MaK-tux:~$ curl -I -s http://easyfileworld.com/download.php?id=101939&file=Folder\%20Vault\%202.1.3.1003.rar
[1] 14023
malekalmorte@MaK-tux:~$ HTTP/1.0 302 Moved Temporarily
Date: Wed, 20 Apr 2011 09:12:52 GMT
Server: Apache/1.3.41 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.7e-p1 PHP/5.2.11
X-Powered-By: PHP/5.2.11
Set-Cookie: uuuid=13032576001383851358; expires=Thu, 19-Apr-2012 09:12:52 GMT; path=/
Set-Cookie: uuuid_last=1303290772; expires=Thu, 19-Apr-2012 09:12:52 GMT; path=/
Set-Cookie: uuuid_q=2; expires=Thu, 19-Apr-2012 09:12:52 GMT; path=/
Set-Cookie: s1762266779=1303290772; expires=Thu, 19-Apr-2012 09:12:52 GMT; path=/
Location: http://mediafiles-express.com/download.php?id=101939
Content-Type: text/html
X-Cache: MISS from v-2-eu28-d1047-71.webazilla.com
Via: 1.1 v-2-eu28-d1047-71.webazilla.com:80 (squid/2.7.STABLE7)
Connection: close

Trojan.Win32.Jorik.Skor : Warez blog Power

La page propose le programme MediaGet2 qui n’est qu’une programme façade pour bundle d’autres programmes et se faire de l’argent via les affiliations.
Comme par hasard, on retrouve encore une fois Offerbox :

Trojan.Win32.Jorik.Skor : Warez blog Power

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 35 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *