WordPress Mass Hack pour dropper le rogue Internet Security

Mass Hack des sites en WordPress qui ont une version vulnérable : WordPress 3.2.1.
Le hack conduit à une modification des pages pour conduire les visiteurs vers des exploits sur site WEB.

Exemple ici d’une page d’index avec du code malicieux ajouté à la fin :

Ici un Exploit Java qui s’execute à la visite d’un des sites hackés :

puis l’installation s’effectue :


On arrive donc au payload qui est un rogue/scareware : Internet Security 2012

Eleonore ExploitPack :

TCP_MISS/200 12226 GET http://jumbodeurna.osa.pl/showthread.php?t=49281 - DIRECT/95.163.67.189 application/java-archive
TCP_MISS/200 16774 GET http://jumbodeurna.osa.pl/showthread.php?t=83475 - DIRECT/95.163.67.189 application/java-archive
TCP_MISS/200 12226 GET http://jumbodeurna.osa.pl/showthread.php?t=49281 - DIRECT/95.163.67.189 application/java-archive
TCP_MISS/200 16774 GET http://jumbodeurna.osa.pl/showthread.php?t=83475 - DIRECT/95.163.67.189 application/java-archive
TCP_MISS/200 12226 GET http://jumbodeurna.osa.pl/showthread.php?t=49281 - DIRECT/95.163.67.189 application/java-archive
TCP_MISS/200 16774 GET http://jumbodeurna.osa.pl/showthread.php?t=83475 - DIRECT/95.163.67.189 application/java-archive
TCP_MISS/404 299 GET http://jumbodeurna.osa.pl/com.class - DIRECT/95.163.67.189 text/html
TCP_MISS/404 299 GET http://jumbodeurna.osa.pl/edu.class - DIRECT/95.163.67.189 text/html
TCP_MISS/404 299 GET http://jumbodeurna.osa.pl/net.class - DIRECT/95.163.67.189 text/html
TCP_MISS/404 299 GET http://jumbodeurna.osa.pl/org.class - DIRECT/95.163.67.189 text/html
TCP_MISS/200 20525 GET http://jumbodeurna.osa.pl/showthread.php?t=2 - DIRECT/95.163.67.189 application/octet-stream
TCP_MISS/200 20525 GET http://jumbodeurna.osa.pl/showthread.php?t=3 - DIRECT/95.163.67.189 application/octet-stream

http://www3.malekal.com/malwares/index.php?hash=25ee3f388c171c49e688c2993adf6d37
http://www3.malekal.com/malwares/index.php?hash=45506395884d542068fcd39ab63157dd

https://www.virustotal.com/file/c4cc99b4a4b8dd757d2d9191eb6f980fd2d6cb0bc2be2ad13258746eb276cd4e/analysis/1328098787/

Trojan.Karagany – Le fichier ~#1D.TMP en est la caractéristique – La détection est relativement bonne :

SHA256: c4cc99b4a4b8dd757d2d9191eb6f980fd2d6cb0bc2be2ad13258746eb276cd4e
 File name: oleda0.32563726719333086.exe
 Detection ratio: 11 / 43
 Analysis date: 2012-02-01 12:19:47 UTC ( 0 minute ago )
AntiVir TR/Kryptik.gyh.3 20120201
 Avast Win32:Kryptik-GYH [Trj] 20120201
 Emsisoft Trojan.Win32.Agent.AMN!A2 20120201
 Fortinet W32/Kryptik.ZRY 20120201
 GData Win32:Kryptik-GYH 20120201
 K7AntiVirus Trojan 20120131
 Kaspersky Trojan.Win32.Menti.losc 20120201
 McAfee Downloader-CRT 20120201
 Microsoft TrojanDownloader:Win32/Karagany.H 20120201
 NOD32 a variant of Win32/Kryptik.ZRY 20120201
 Sophos Mal/EncPk-ZQ 20120201

 

Le rogue au final est moins bien détecté  : https://www.virustotal.com/file/48421b818c884183ce6382358cc851e69c4075b4c547e919635b1fd3d68f481e/analysis/1328097815/

SHA256: 48421b818c884183ce6382358cc851e69c4075b4c547e919635b1fd3d68f481e
 File name: isecurity.exe
 Detection ratio: 3 / 43
 Analysis date: 2012-02-01 12:03:35 UTC ( 0 minute ago )
AntiVir TR/Crypt.XPACK.Gen 20120201
 Microsoft Rogue:Win32/FakeRean 20120201
 Sophos Mal/EncPk-NS 20120201

Par la suite, C’est ZeroAccess qui est téléchargé (le contact stat2.php en est la caractéristique) – on notera que le téléchargement se fait sur un domaine en .fr géré par OVH qui est loin d’être nouveau http://www3.malekal.com/malwares/index.php?&url=jesais.fr

TCP_MISS/200 180755 GET http://adera.jesais.fr/forum/viewtopic.php?f=1&t=270&sid=81f9d61a2bde05ea2b3c4d5191a2b7f8 - DIRECT/95.163.67.189 application/octet-stream
 TCP_MISS/200 849881 GET http://adera.jesais.fr/forum/viewtopic.php?f=2&t=270&sid=81f9d61a2bde05ea2b3c4d5191a2b7f8 - DIRECT/95.163.67.189 application/octet-stream
 TCP_MISS/200 1136 GET http://adera.jesais.fr/forum/viewtopic.php?f=3&t=270&sid=81f9d61a2bde05ea2b3c4d5191a2b7f8 - DIRECT/95.163.67.189 application/octet-stream
 TCP_MISS/200 770 GET http://promos.fling.com/geo/txt/city.php - DIRECT/208.91.207.10 text/html
 TCP_MISS/504 1751 GET http://ebgxjsnk.cn/stat2.php?w=30273&i=000000000000000000000000c91011ac&a=1 - DIRECT/ebgxjsnk.cn text/html
 TCP_MISS/200 1136 GET http://adera.jesais.fr/forum/viewtopic.php?f=3&t=270&sid=81f9d61a2bde05ea2b3c4d5191a2b7f8 - DIRECT/95.163.67.189 application/octet-stream

Maintenez WordPress à jour !!

Dans le cas où votre site a été compris, il est conseillé de repartir sur un backup et faire la mise à jour de WordPress afin de corriger les vulnérabilités.
Si vous n’avez pas de backup nettoyer les pages et scanner les avec un antivirus.
Plus d’informations sur la sécurité WordPress : Sécuriser WordPress

Des liens sur le sujet notamment chez m86security.com utilisé est Phoenix Exploit Pack :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 23 times, 1 visits today)

One thought on “WordPress Mass Hack pour dropper le rogue Internet Security

  1. Salut, merci encore pour tous tes articles 🙂
    Tu serais quel exploits ils utilisent, ou le code a modifier pour securiser le site sans avoir a upgrader wordpress?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *