Uptobox hacked ? => spambot

J’ai eu une redirection vers un exploit kit depuis le site uptobox.
Difficile de dire si c’est un hack ou une malvertising.

Uptobox ~1,4k sur Alexa.com

Uptobox_hack11

La redirection est faite vers l’adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php

=> http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5

https://www.virustotal.com/fr/file/778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97/analysis/1364037630/

SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97
Nom du fichier : 2010735.exe
Ratio de détection : 1 / 46
Date d’analyse : 2013-03-23 11:20:30 UTC (il y a 0 minute)

Uptobox_hack

Uptobox_hack2
Le malware créé une clef autorun pour lancer le fichier qpou.exe puis charge un fichier .tmp


 Uptobox_hack3 Uptobox_hack4

Uptobox_hack5

Le malware est un spambot (je ne sais pas quelle famille) :

https://www.virustotal.com/fr/file/7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5/analysis/1364037660/

 

SHA256: 7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5
Nom du fichier : lphnf4C63132C.tmp
Ratio de détection : 33 / 46
Date d’analyse : 2013-03-23 11:21:00 UTC (il y a 1 minute)

Agnitum Trojan.Lukan!7tdYJlag6ww 20130322
AhnLab-V3 Win-Trojan/Spammer.310784 20130323
AntiVir TR/Crypt.XPACK.Gen 20130323
BitDefender Trojan.Generic.KDV.852464 20130323
CAT-QuickHeal Trojan.Jorik.Lukan.n 20130323
ClamAV Win.Trojan.Agent-230795 20130323
Commtouch W32/Trojan.OMME-4024 20130322
Comodo UnclassifiedMalware 20130323
ESET-NOD32 Win32/SpamTool.Agent.NFL 20130323
F-Secure Trojan.Generic.KDV.852464 20130323
Fortinet W32/Jorik_Lukan.N!tr 20130323
GData Trojan.Generic.KDV.852464 20130323
Ikarus Trojan.Crypt 20130323
Jiangmin Trojan/Jorik.jnmi 20130323
K7AntiVirus Trojan 20130322
Kaspersky Trojan.Win32.Jorik.Lukan.n 20130323
McAfee RDN/Generic.dx!ks 20130323
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.C 20130323
MicroWorld-eScan Trojan.Generic.KDV.852464 20130323
Norman Troj_Generic.HBYJI 20130323
nProtect Trojan.Generic.KDV.852464 20130323
Panda Trj/OCJ.C 20130323
Sophos Mal/EncPk-CK 20130323
SUPERAntiSpyware Trojan.Agent/Gen-Cryptic 20130323
Symantec WS.Reputation.1 20130323
TheHacker Trojan/Spam.Agent.nfl 20130322
TrendMicro TROJ_JORIK.BH 20130323
TrendMicro-HouseCall TROJ_JORIK.BH 20130323
VBA32 Trojan.Jorik.Lukan.n 20130323
VIPRE Trojan.Win32.Generic!BT 20130323
ViRobot Trojan.Win32.S.Agent.310784.A 20130323


Uptobox_hack6

Exemple de SPAM :

Uptobox_hack7 Uptobox_hack8

 

Cet exploitkit est relativement courant, notamment il y a un topic sur le forum avec ce dernier : http://forum.malekal.com/virus-sur-site-internet-t42363.html

Uptobox_hack9

A noter que ce n’est pas la première fois qu’il y a un hack sur Uptobox : http://www.malekal.com/2012/11/28/en-uptobox-hacked/
J’ai eu une seconde fois l’exploitkit et c’est à chaque fois Uptobox qui fait un moved 302, donc ça semble être un hack sur le site.
La redirection est loin d’être systématique.

Uptobox_hack10

EDIT 2 Avril

Suite au billet, Uptobox m’a contacté en confirmant le Hack.
A ce jour, le problème est réglé.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 107 times, 1 visits today)

8 thoughts on “Uptobox hacked ? => spambot

  1. Bonjour.
    Je me demandais quel est la méthode que tu emploies pour lister les mails envoyés par les spambot..

    Redirection des requêtes SMTP vers un SMTP qui t’appartiens? (a coup d’édition du fichier host)
    Parce que dans ce cas, si le malware est en .NET et que l’envoi de mail utilise SSL ya par défaut vérif du certificat du serveur par OCSP.. :/

  2. Bonjour,

    Une question peut être bête, si on passe par JDownloader et Flashgot est ce qu’on est quand même exposé à cet exploit ? Merci

  3. Moi, ce qui m’étonne c’est que ça n’arrive pas plus souvent. Bizarrement les hosters sont rarement infectieux, ce sont plutôt les sites de liens qui le sont, ce qui est logique. Mais néanmoins, vu le traffic que génèrent certains de ces hosters, je suis étonné qu’ils ne soient pas plus souvent la cible de campagnes de malvertising.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *