Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming

J’ai mis la main sur le Malvertising (publicité malicieuse) qui provoque les Virus Police qui font des ravages.
https://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
https://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/

EDIT : Une autre Malvertising est présente sur videobb, se reporter au billet Malvertising : asrvstatsmanager.com droppe malware via videobb et adserve.com

Sur le forum CommentCamarche.net

La régie de pub clicksor est à l’origine de l’infection, celle-ci étant très répandue, cela donne une grande possibilité de propagation de l’infection.
En l’occurence ici, c’est surtout les sites de streaming qui sont visés car très en vogue, ce n’est pas la première fois site de streaming et Malware Advertisement et infections
Dans mon cas, je l’ai attrapé sur le site de streming de sport  www.fromlivesport.com mais plusieurs sites sont touchés via la régie, comme  par exemple, les gros sites tel que dpstreaming, allo-show-tv.com mentionné par les victimes.

Le lien de la régie clicksor renvoie vers la page hxxp://abrak7.info/fc061bf0b1f0f56610357be4d6228211 (184.107.189.51)

Referer: http://serw.clicksor.com/newServing/showbanner.php?nid=1&t40.51179350271772&zone=0&chad=1&oe=UTF-8&cs=Watch%20Free%20Live%7CLiga%7CEuropa%20League%7CBundesliga%7CWatch%20Live%20Sport%20on&adtype=1&sid=340726&pid=211273&spid=0&adu=2&image=3&c1=&c2=&c3=&c4=&memkey=89ac83e4867598e00114613086dc6a26&qp=YF4lKC_7JScg-Scz-yUqJ_FjZU4wKiL7Jy4g_GpVJSEseyZ8YlstLXwlKiQhJDV-K3xVXy0t_SM&bdurl=&lq=0&lb=129&orid=2584354

Ce dernier charge une bannière et renvoie vers une page http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97


qui contient le JavaScript malicieux et va charger l’exploit sur site WEBpuis un BlackHole Exploit kit se charge pour lancer l’exploit et le dropper de l’infection sur bulbish.in (86.63.168.105) :

http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97
http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97%22
http://bulbish.in/opentraff.php?pagpag=2509ce307e57de97
http://bulbish.in/content/fdp1.php?f=66
http://bulbish.in/content/cph2.php?c=66
http://bulbish.in/content/v1.jar
http://bulbish.in/com.class
http://bulbish.in/edu.class
http://bulbish.in/net.class
http://bulbish.in/org.class
http://bulbish.in/w.php?f=66&e=0


L’exploit Java qui lance l’exécution du dropper :

Le le lien du dropper : http://www3.malekal.com/malwares/index.php?&hash=f8fd7bbad10c1f0483cbfdd0905e8f21

ce qui donne sur VirusTotal : http://www.virustotal.com/file-scan/report.html?id=81f869bcea2abe42709145c74c3eab9799976c899d4e21d639bec2cef2b9e7ed-1323695529

File name: f8fd7bbad10c1f0483cbfdd0905e8f21
Submission date: 2011-12-12 13:12:09 (UTC)
Current status: finished
Result: 12 /43 (27.9%)	VT Community
Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.11.00	2011.12.12	Win-Trojan/Obfuscated.Gen
Avast	6.0.1289.0	2011.12.12	Win32:Rootkit-gen [Rtk]
AVG	10.0.0.1190	2011.12.12	PSW.Generic9.AUNN
BitDefender	7.2	2011.12.12	Gen:Variant.Kazy.48147
Commtouch	5.3.2.6	2011.12.11	W32/Zbot.DD4.gen!Eldorado
Comodo	10932	2011.12.12	TrojWare.Win32.Trojan.Agent.Gen
F-Prot	4.6.5.141	2011.12.12	W32/Zbot.DD4.gen!Eldorado
F-Secure	9.0.16440.0	2011.12.12	Gen:Variant.Kazy.48147
GData	22	2011.12.12	Gen:Variant.Kazy.48147
Kaspersky	9.0.0.837	2011.12.12	UDS:DangerousObject.Multi.Generic
McAfee	5.400.0.1158	2011.12.12	PWS-Zbot.gen.hb
NOD32	6703	2011.12.12	a variant of Win32/Kryptik.XBX

Show all
MD5   : f8fd7bbad10c1f0483cbfdd0905e8f21
SHA1  : b0a9c9af938bc212744742f8064f0aea22cbf64c
SHA256: 81f869bcea2abe42709145c74c3eab9799976c899d4e21d639bec2cef2b9e7ed

Le Fake Police  BUNDESPOLIZEI à l’effigie Allemande mais traduit en Français…
L’utilisation d’un traducteur rend l’avertissement de mauvaise qualité, comparé notamment à la version Virus Gendarmerie, ce qui fait que l’internaute va se douter que c’est une arnaque.

Pour conclure, si vous avez été infecté c’est que votre ordinateur est vulnérable et que vous ne Penser pas à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

EDIT :

Comme une ce n’est pas assez une autre Malvertising via adserve.com sur videobb

21/12 : toujours active :

http://sp-adhitcounter.com/in.cgi?2&ab_iframe=1&ab_badtraffic=1&antibot_hash=805843182&ur=1&HTTP_REFERER=http://serw.clicksor.com/newServing/showbanner.php?nid=1&t6679.616162406938&zone=18376&chad=1&oe=UTF-8&cs=family%20guy%7Csouth%20park%20episodes%7Cfamily%20guy%20episodes%7Cshop%20anime%7Cnaruto%20episodes&adtype=1&sid=222996&pid=93232&spid=0&adu=2&image=2&c1=&c2=&c3=&c4=&memkey=b9f4cb2ebadcfcc0bc8910fb7d14c8b6&qp=YF4lKC77JCkh-SEs_SEqIfFjZU4wKSD9KTUg_GpVJSMy82dqK_wjLn0nLid9Iy_zY1or-301I_xnWyUgKnsj&bdurl=http%3A%2F%2Fwww.familyguyepisodes.tv%2Fads%2F728_90_backup.html&lq=0&lb=161&orid=5747508&aid=123&cn=eu&conte
http://slivnasutru.in/in.cgi?3
http://findviver.com/forum.php?tp=9e9a2a3a4b7fc1d2
http://findviver.com/content/fdp1.php?f=19
http://findviver.com/content/cph2.php?c=19
http://findviver.com/content/fdp1.php?f=19
http://findviver.com/content/v1.jar


Print Friendly, PDF & Email
(Visité 189 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet