Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming

J’ai mis la main sur le Malvertising (publicité malicieuse) qui provoque les Virus Police qui font des ravages.
http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/

EDIT : Une autre Malvertising est présente sur videobb, se reporter au billet Malvertising : asrvstatsmanager.com droppe malware via videobb et adserve.com

Sur le forum CommentCamarche.net

La régie de pub clicksor est à l’origine de l’infection, celle-ci étant très répandue, cela donne une grande possibilité de propagation de l’infection.
En l’occurence ici, c’est surtout les sites de streaming qui sont visés car très en vogue, ce n’est pas la première fois site de streaming et Malware Advertisement et infections
Dans mon cas, je l’ai attrapé sur le site de streming de sport  www.fromlivesport.com mais plusieurs sites sont touchés via la régie, comme  par exemple, les gros sites tel que dpstreaming, allo-show-tv.com mentionné par les victimes.

Le lien de la régie clicksor renvoie vers la page hxxp://abrak7.info/fc061bf0b1f0f56610357be4d6228211 (184.107.189.51)

Referer: http://serw.clicksor.com/newServing/showbanner.php?nid=1&t40.51179350271772&zone=0&chad=1&oe=UTF-8&cs=Watch%20Free%20Live%7CLiga%7CEuropa%20League%7CBundesliga%7CWatch%20Live%20Sport%20on&adtype=1&sid=340726&pid=211273&spid=0&adu=2&image=3&c1=&c2=&c3=&c4=&memkey=89ac83e4867598e00114613086dc6a26&qp=YF4lKC_7JScg-Scz-yUqJ_FjZU4wKiL7Jy4g_GpVJSEseyZ8YlstLXwlKiQhJDV-K3xVXy0t_SM&bdurl=&lq=0&lb=129&orid=2584354

Ce dernier charge une bannière et renvoie vers une page http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97


qui contient le JavaScript malicieux et va charger l’exploit sur site WEBpuis un BlackHole Exploit kit se charge pour lancer l’exploit et le dropper de l’infection sur bulbish.in (86.63.168.105) :

http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97
http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97%22
http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97
http://bulbish.in/content/fdp1.php?f=66
http://bulbish.in/content/cph2.php?c=66
http://bulbish.in/content/v1.jar
http://bulbish.in/com.class
http://bulbish.in/edu.class
http://bulbish.in/net.class
http://bulbish.in/org.class
http://bulbish.in/w.php?f=66&e=0


L’exploit Java qui lance l’exécution du dropper :

Le le lien du dropper : http://www3.malekal.com/malwares/index.php?&hash=f8fd7bbad10c1f0483cbfdd0905e8f21

ce qui donne sur VirusTotal : http://www.virustotal.com/file-scan/report.html?id=81f869bcea2abe42709145c74c3eab9799976c899d4e21d639bec2cef2b9e7ed-1323695529

File name: f8fd7bbad10c1f0483cbfdd0905e8f21
Submission date: 2011-12-12 13:12:09 (UTC)
Current status: finished
Result: 12 /43 (27.9%)	VT Community
Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.11.00	2011.12.12	Win-Trojan/Obfuscated.Gen
Avast	6.0.1289.0	2011.12.12	Win32:Rootkit-gen [Rtk]
AVG	10.0.0.1190	2011.12.12	PSW.Generic9.AUNN
BitDefender	7.2	2011.12.12	Gen:Variant.Kazy.48147
Commtouch	5.3.2.6	2011.12.11	W32/Zbot.DD4.gen!Eldorado
Comodo	10932	2011.12.12	TrojWare.Win32.Trojan.Agent.Gen
F-Prot	4.6.5.141	2011.12.12	W32/Zbot.DD4.gen!Eldorado
F-Secure	9.0.16440.0	2011.12.12	Gen:Variant.Kazy.48147
GData	22	2011.12.12	Gen:Variant.Kazy.48147
Kaspersky	9.0.0.837	2011.12.12	UDS:DangerousObject.Multi.Generic
McAfee	5.400.0.1158	2011.12.12	PWS-Zbot.gen.hb
NOD32	6703	2011.12.12	a variant of Win32/Kryptik.XBX

Show all
MD5   : f8fd7bbad10c1f0483cbfdd0905e8f21
SHA1  : b0a9c9af938bc212744742f8064f0aea22cbf64c
SHA256: 81f869bcea2abe42709145c74c3eab9799976c899d4e21d639bec2cef2b9e7ed

Le Fake Police  BUNDESPOLIZEI à l’effigie Allemande mais traduit en Français…
L’utilisation d’un traducteur rend l’avertissement de mauvaise qualité, comparé notamment à la version Virus Gendarmerie, ce qui fait que l’internaute va se douter que c’est une arnaque.

Pour conclure, si vous avez été infecté c’est que votre ordinateur est vulnérable et que vous ne Penser pas à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

EDIT :

Comme une ce n’est pas assez une autre Malvertising via adserve.com sur videobb

21/12 : toujours active :

http://sp-adhitcounter.com/in.cgi?2&ab_iframe=1&ab_badtraffic=1&antibot_hash=805843182&ur=1&HTTP_REFERER=http://serw.clicksor.com/newServing/showbanner.php?nid=1&t6679.616162406938&zone=18376&chad=1&oe=UTF-8&cs=family%20guy%7Csouth%20park%20episodes%7Cfamily%20guy%20episodes%7Cshop%20anime%7Cnaruto%20episodes&adtype=1&sid=222996&pid=93232&spid=0&adu=2&image=2&c1=&c2=&c3=&c4=&memkey=b9f4cb2ebadcfcc0bc8910fb7d14c8b6&qp=YF4lKC77JCkh-SEs_SEqIfFjZU4wKSD9KTUg_GpVJSMy82dqK_wjLn0nLid9Iy_zY1or-301I_xnWyUgKnsj&bdurl=http%3A%2F%2Fwww.familyguyepisodes.tv%2Fads%2F728_90_backup.html&lq=0&lb=161&orid=5747508&aid=123&cn=eu&conte
http://slivnasutru.in/in.cgi?3
http://findviver.com/forum.php?tp=9e9a2a3a4b7fc1d2
http://findviver.com/content/fdp1.php?f=19
http://findviver.com/content/cph2.php?c=19
http://findviver.com/content/fdp1.php?f=19
http://findviver.com/content/v1.jar


Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 68 times, 1 visits today)

9 thoughts on “Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming

  1. Quelle horreur ce truc !
    rescue disc Kasperski ou Avira le virent mais il es toujours là. Il ne monte pas en usb sur un autre pc…
    Comment faire ?
    Si vous avez des idées, elles sont les bienvenues !!!!

  2. Attrapé aussi chez un pote cet aprem, et viré garce a la procédure.
    Par contre, comment ça se fait qu’Avira Free n’ait rien détecté ?

  3. @Pwet : parce que les antivirus ne protège pas à 100% – loin de là.
    => http://www.malekal.com/2011/10/13/antivir-premium-2012-survol-rapide/

    D’autre part, la version gratuite d’antivir n’a pas de webguard, enfin tu l’as peut-être pas activé.

    Pour terminer et comme expliqué, le fond du problème et qu’il y a des programmes non à jour sur le PC qui permettent l’infection du PC par des exploits.
    C’est pas un prb d’antivirus là.

  4. En l’occurrence, le PC de mon pote n’était pas a jour. D’ailleurs, il était sur un site de warez et non un stream.

    Je ne dis pas que la faute incombe a l’antivirus, mais juste que c’est étonnant qu’il n’ait pas été détecté.

  5. Bonjour j ai été infecté ce matin par ce malware ; j ai donc éteint l ordi et supprimé le compte utilisateur correspondant au blocage via un autre compte utilisateur , je voudrais savoir si il y a un moyen de recupérer mes fichiers supprimés sur le susdit compte et si mon ordinateur risque encore un nouveau blocage suite à ma manipulation quelque peut rudimentaire …..
    Merci et bonne journée .

  6. bonjour, si le virus est la puis que je suis infecté mais le problème que j’ai payé la somme de 200 euros qui s’affiche en bas U KACH. ma question est que je suis foutu ou le ticket et encore valable et comment faire pour être remboursé.

  7. Franchement faut vraiment etre con pour se laisser berner et payer! Enfin il y a toujours des crédules mais quand meme depuis le temps qu’on est sensibilisé.

    Tu veux pas me donner ton numéro de CB? Je suis un gendarme….

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *