Uptobox hacked ? => spambot

J’ai eu une redirection vers un exploit kit depuis le site uptobox.
Difficile de dire si c’est un hack ou une malvertising.

Uptobox ~1,4k sur Alexa.com

Uptobox_hack11

La redirection est faite vers l’adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php

=> http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5

https://www.virustotal.com/fr/file/778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97/analysis/1364037630/

SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97
Nom du fichier : 2010735.exe
Ratio de détection : 1 / 46
Date d’analyse : 2013-03-23 11:20:30 UTC (il y a 0 minute)

Uptobox_hack Uptobox_hack2
Le malware créé une clef autorun pour lancer le fichier qpou.exe puis charge un fichier .tmp


 Uptobox_hack3 Uptobox_hack4

Uptobox_hack5

Le malware est un spambot (je ne sais pas quelle famille) :

https://www.virustotal.com/fr/file/7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5/analysis/1364037660/

 

SHA256: 7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5
Nom du fichier : lphnf4C63132C.tmp
Ratio de détection : 33 / 46
Date d’analyse : 2013-03-23 11:21:00 UTC (il y a 1 minute)

Agnitum Trojan.Lukan!7tdYJlag6ww 20130322
AhnLab-V3 Win-Trojan/Spammer.310784 20130323
AntiVir TR/Crypt.XPACK.Gen 20130323
BitDefender Trojan.Generic.KDV.852464 20130323
CAT-QuickHeal Trojan.Jorik.Lukan.n 20130323
ClamAV Win.Trojan.Agent-230795 20130323
Commtouch W32/Trojan.OMME-4024 20130322
Comodo UnclassifiedMalware 20130323
ESET-NOD32 Win32/SpamTool.Agent.NFL 20130323
F-Secure Trojan.Generic.KDV.852464 20130323
Fortinet W32/Jorik_Lukan.N!tr 20130323
GData Trojan.Generic.KDV.852464 20130323
Ikarus Trojan.Crypt 20130323
Jiangmin Trojan/Jorik.jnmi 20130323
K7AntiVirus Trojan 20130322
Kaspersky Trojan.Win32.Jorik.Lukan.n 20130323
McAfee RDN/Generic.dx!ks 20130323
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.C 20130323
MicroWorld-eScan Trojan.Generic.KDV.852464 20130323
Norman Troj_Generic.HBYJI 20130323
nProtect Trojan.Generic.KDV.852464 20130323
Panda Trj/OCJ.C 20130323
Sophos Mal/EncPk-CK 20130323
SUPERAntiSpyware Trojan.Agent/Gen-Cryptic 20130323
Symantec WS.Reputation.1 20130323
TheHacker Trojan/Spam.Agent.nfl 20130322
TrendMicro TROJ_JORIK.BH 20130323
TrendMicro-HouseCall TROJ_JORIK.BH 20130323
VBA32 Trojan.Jorik.Lukan.n 20130323
VIPRE Trojan.Win32.Generic!BT 20130323
ViRobot Trojan.Win32.S.Agent.310784.A 20130323


Uptobox_hack6

Exemple de SPAM :

Uptobox_hack7 Uptobox_hack8

 

Cet exploitkit est relativement courant, notamment il y a un topic sur le forum avec ce dernier : http://forum.malekal.com/virus-sur-site-internet-t42363.html

Uptobox_hack9

A noter que ce n’est pas la première fois qu’il y a un hack sur Uptobox : http://www.malekal.com/2012/11/28/en-uptobox-hacked/
J’ai eu une seconde fois l’exploitkit et c’est à chaque fois Uptobox qui fait un moved 302, donc ça semble être un hack sur le site.
La redirection est loin d’être systématique.

Uptobox_hack10

EDIT 2 Avril

Suite au billet, Uptobox m’a contacté en confirmant le Hack.
A ce jour, le problème est réglé.

(Visité 159 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Créer image système WindowsSFC : réparer Windows

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com