Urausy et Faux codec / site de streaming pornographiques

Pas nouveau puisque ça doit faire plusieurs mois que ces sites de faux codec existent, mais pas mal de sujet de désinfection d’Urausy dû à cela, donc un billet informatif.
Le principe est loin d’être nouveau puisqu’il était utilisé en 2006 : http://forum.malekal.com/faux-codec-zlob-videoaccess-trojan-win32-dnschanger-t878.html

J’en avais reparlé là : http://www.malekal.com/2011/09/13/faux-codecfaux-flash-player-social-engineering/

Des faux sites de streaming sont propagés, ces derniers lorsque vous cliquez sur lecture propose un fichier zip qui contient un dropper Urausy.
La détection du dropper au moment où ces lignes sont écrites : https://www.virustotal.com/fr/file/e431d0d1fa6f79479ad1e7ccbcc0352575318a21160c02a0560217b1f7052697/analysis/1366024246/

SHA256: e431d0d1fa6f79479ad1e7ccbcc0352575318a21160c02a0560217b1f7052697
Nom du fichier : HD_video.exe
Ratio de détection : 1 / 46
Date d’analyse : 2013-04-15 11:10:46 UTC (il y a 0 minute)

ESET-NOD32      a variant of Win32/Kryptik.AYTP      20130415

Urausy_FakeCodec_download
La fausse page reprend la charte graphique et le nom des sites de streaming pornographiques les plus populaires :
Urausy_FakeCodec

Urausy_FakeCodec2 Urausy_FakeCodec3 Urausy_FakeCodec4 Urausy_FakeCodec5

Pour rappel, ne pas executer un fichier qu’on vous balance comme cela et encore moins lorsqu’il s’agit de site inconnu (Regardez bien l’URL du site « http:// »).
En ce qui concerne les mises à jour Flash, le site de téléchargement est : http://get.adobe.com/fr/flashplayer/
Surtout ne pas prendre les propositions commerciales des moteurs de recherche, ces derniers refilent des programmes parasites.
Urausy_FakeCodec_miseajourflash

Notez qu’il faut aussi décocher la proposition d’installation de McAfee Security Scan qui n’apporte rien en matière de sécurité. Ce programme étant surtout conçu pour tenter de vous refourguer l’antivirus.
Voir la page : http://forum.malekal.com/mcafee-security-scan-plus-t29534.html
Urausy_FakeCodec_miseajourflash2

EDIT 4 November

Un autre type de campagne Fake Codec, le lien a été reçu par une tentative de spam sur le forum.
Donc attention au lien donné dans les commentaires, même si le message étant en anglais, les francophones sont moins enclins à cliquer.

Lien de départ : http://megaswf.com/serve/2612472
{redirections}
http://processingrealise.com/in.cgi?18 – 7 @ https://www.virustotal.com/en/url/bfd52319b355e7182eca5fc4cda2c2087c53eb2a0e02e14592d4ea4a69f03392/analysis/1383558588/
http://www.netlookpoint.com/?sid=4 – 3 @ https://www.virustotal.com/en/url/976523ce7a3d42605264a83128805027694df6405178a24fae91eb8f07904051/analysis/1383558610/
http://imesesuqalokoq.chatnook.com/tube/index.php
http://imesesuqalokoq.chatnook.com/tube/flash_player/adobeflashplayerv10.2.152.32.exe

sample : http://malwaredb.malekal.com/index.php?hash=92ff53ac1d4ffdee63902bd83c12fffd

FakeCodec_Urausy FakeCodec_Urausy2 FakeCodec_Urausy3 FakeCodec_Urausy4 FakeCodec_Urausy5

EDIT – Mars 4

I take the time to post about this Fake Codec that is still online.
A the end of January, there were a new about this affiliation system.
BitDefender and others claim to get the servers seized  :
http://labs.bitdefender.com/2014/01/icepol-mdn-a-server-snapshot/
http://www.infosecurity-magazine.com/view/36719/seized-server-yields-details-on-icepol-aka-reveton-ransomware-infections/

They did a mistake, the affiliation system is not related to Icepol (Reveton) but related to Urausy Ransomware like it’s mentionned in this thread.
kafeine mention it : https://twitter.com/kafeine/status/428973195375284224

Like i just say, the affiliation system is still online and im not sure they got a big distruption :

http://tribelka.com/go.php – 4 @ VT https://www.virustotal.com/fr/url/955567e8513bb9e4096220817e0618df309d4252cb3a97d516453837d79666ce/analysis/1393938783/
http://otmgnqy.in/?i=1 – 2 @ VT https://www.virustotal.com/fr/url/97e941607c9c2eaae2e56a5002fd8b8511eff0f28ca3efc6df4a895492ca1459/analysis/1393938762/

Fake_Codec Fake_Codec2

The domain tribelka.com is still hosted in Roumania.
I have already seen in the past this whois with an address in France => https://forum.malekal.com/desktop-defender-2010-t21574.html?sid=14d50e7c84c78c02345e9b9e696cc519#p178053

tribelka.com has address 93.114.45.86

Domain Name: TRIBELKA.COM
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: NS1.TRIBELKA.COM
Name Server: NS2.TRIBELKA.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 24-dec-2013
Creation Date: 24-dec-2013
Expiration Date: 24-dec-2014

Tech Name: Henry Nguyen Gong
Tech Organization: Privacy-Protect.cn
Tech Street: 26 Rue Jean Reboul
Tech City: Nimes
Tech State/Province: Languedoc-Roussillon
Tech Postal Code: 30900
Tech Country: fr
Tech Phone: +33.0466583875
Tech Phone Ext:
Tech Fax: +33.0466583875
Tech Fax Ext:

Name Server: ns1.tribelka.com
Name Server: ns2.tribelka.com

otmgnqy.in
==========
otmgnqy.in has address 208.67.180.126 (NDCHOST-03 – abuse@ndchost.com)

Domain ID:D8181027-AFIN
Domain Name:OTMGNQY.IN
Created On:03-Mar-2014 17:34:48 UTC
Last Updated On:03-Mar-2014 17:34:50 UTC
Expiration Date:03-Mar-2015 17:34:48 UTC
Sponsoring Registrar:Webiq Domains Solutions Pvt. Ltd. (R131-AFIN)

Tech Street1:Riksvena 98-14
Tech Street2:
Tech Street3:
Tech City:Buharest
Tech State/Province:Bihor
Tech Postal Code:34191
Tech Country:RO
Tech Phone:+40.5040745
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:stefanglovecg@hotmail.com

Dropper : https://www.virustotal.com/fr/file/cd5100507b6c2919b4cb3f3a676a3154af9b46f42003327cd20a859bf16efe85/analysis/1393939456/
Seems to be Filmrans Ransomware.

SHA256:cd5100507b6c2919b4cb3f3a676a3154af9b46f42003327cd20a859bf16efe85
Nom du fichier :video_720p.exe
Ratio de détection :5 / 49
Date d’analyse :2014-03-04 13:24:16 UTC (il y a 2 minutes)
BkavHW32.CDB.679620140304
FortinetW32/ZAccess.CRCD!tr20140304
MalwarebytesTrojan.Agent.ZT20140304
Qihoo-360Malware.QVM20.Gen20140304
RisingPE:Malware.XPACK-HIE/Heur!1.9C4820140304

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 109 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *