Fausses mises à jour Java / Flash

EDIT : je vous conseille de jeter un lien à cette page qui donne un résume de la situation : https://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html

Pas mal de personnes touchées par Nation Zoom – le remplaçant de Do-Search qui s’impose en page de démarrage.
( voir page de désinfection pour Nation Zoom : https://forum.malekal.com/supprimer-nation-zoom-t45740.html ).

Ce dernier se propage par de fausses mises à jour Java – ce qui n’est pas vraiment nouveau puisque j’en parlais déjà en Juillet : https://www.malekal.com/publicites-malicieuses-fausse-mise-a-jour-flash/

L’autre jour, j’avais tweeté le changement de domaine – l’adresse n’avait pas bougé depuis le début xxx.123mediaplayer.com (j’en avais parlé là : https://www.malekal.com/fausses-mise-a-jour-java-flash/ ) : https://twitter.com/malekal_morte/status/406330155892609025

Les fausses mises à jour Flash / Java en vidéo :

Aujourd’hui, le domaine a de nouveau changé : http://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww (5.135.66.82)

https://www.virustotal.com/fr/url/f18e457d4e9eaa03e9b5fbdbd29c9d968477738d3ef5e6807818c82d33f49071/analysis/1386061881/

URL:	http://dlp.cloudsvr206.com/
Ratio de détection :	1 / 51
Date d’analyse :	2013-12-03 09:11:21 UTC (il y a 8 minutes)

La détection de l’installeur : https://www.virustotal.com/fr/file/8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9/analysis/1386061898/

SHA256:	8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9
Nom du fichier :	kKGvYJww
Ratio de détection :	5 / 48
Date d’analyse :	2013-12-03 09:11:38 UTC (il y a 9 minutes)

Je vais essayer de faire bouger cela.

En attendant, et encore une fois, lorsque vous surfez, n’installez aucune mise à jour (Flash, Java etc), même si des popups s’ouvrent en insistant.
Les mises à jour Java sont lancées par le programme jusched qui affiche une alerte en bas à droite à côté de l’horloge mais aucune popup lors du surf, encore moins quand un executable à executer vous ait balancé.

Le mieux étant de faire les mises à jour depuis le site Java : http://www.java.com/fr/download/

Je ne peux que vous conseiller de lire ceci : https://www.malekal.com/supprimer-publicites-adware/

Table des matières

1 EDIT –
2 EDIT 11 Decembre
3 EDIT 12 December
4 EDIT 6 Janvier
5 EDIT MAI 2014 : attaque sur les malvertising Fake Flash/Java
6 EDIT Octobore 2015 : Fausse page Java (InstallCore)

EDIT –

on a droit à la variante du logiciel vidéo obsolète :

Les détections peinent à monter à 10 :

https://www.virustotal.com/fr/file/35f34e6a9e25f475f285c946bfa4974ad7ee1a76d75073dfbd0264209c7fc98b/analysis/1386497174/
https://www.virustotal.com/fr/file/5f04a7606fb3a3f48d5502c793d652cfd7b4a517896d978e2b16551ca6084f29/analysis/1386497179/

D’autre part, Nation Zoom commence à être distribué sur d’autres réseaux d’affiliation que DomaIQ.

EDIT 11 Decembre

A noter une autre variante qui reprend la page de mise à jour Flash : https://www.malekal.com/publicites-malicieuses-fausse-mise-a-jour-flash/

J’ai mis un autosubmit en place sur malwaredb.
Les détections commencent à s’ajouter petit à petit, on passe de 20% à un petit plus de 30%.

Exemple de détection :

SHA256:	43f24df9502993395b2413fe0cc9fd78d228e26aeec93099fa5e3d88b7811d39
Nom du fichier :	94ad26259d4fdbba23eedd33ce410ca3954ee62d
Ratio de détection :	14 / 49
Date d’analyse :	2013-12-11 03:00:31 UTC (il y a 5 heures, 19 minutes)

Avast Win32:PUP-gen [PUP] 20131211
AVG Skodna.Bundle_r.Q 20131211
Baidu-International 20131210
Comodo Application.Win32.DomaIQ.JIK 20131211
DrWeb Trojan.PayInt.1 20131211
ESET-NOD32 a variant of Win32/DomaIQ.AN 20131211
Kaspersky not-a-virus:AdWare.Win32.DomaIQ.dzd 20131210
Kingsoft Win32.Troj.DomaIQ.d.(kcloud) 20130829
Malwarebytes PUP.Optional.Domalq 20131211
McAfee RDN/Generic.bfr!fj 20131211
McAfee-GW-Edition RDN/Generic.bfr!fj 20131211
NANO-Antivirus Trojan.Win32.PayInt.cqkjts 20131211
Rising PE:PUF.DomaIQ!1.9DE0 20131210
VBA32 TScope.Trojan.MSIL 20131210
VIPRE Trojan.Win32.Generic!BT 20131211

SHA256:	66f08fecf5511ed14eaf5bd761637ba1dddc0d7deeb7c5c44ae945a7af5bada9
Nom du fichier :	acd37cfbdfd7d99c582b2134c7b16872d349708d
Ratio de détection :	17 / 48
Date d’analyse :	2013-12-11 03:00:06 UTC (il y a 5 heures, 20 minutes)

Ad-Aware Dropped:Adware.DomaIQ.M 20131211
Avast Win32:Dropper-gen [Drp] 20131211
AVG Skodna.Generic_r.HV 20131211
BitDefender Dropped:Adware.DomaIQ.M 20131211
DrWeb Adware.Downware.1722 20131211
Emsisoft Dropped:Adware.DomaIQ.M (B) 20131211
ESET-NOD32 a variant of MSIL/DomaIQ.J 20131211
F-Secure Dropped:Adware.DomaIQ.M 20131211
GData Dropped:Adware.DomaIQ.M 20131211
Malwarebytes PUP.Optional.BundleInstaller 20131211
McAfee Artemis!7681013BEB29 20131211
McAfee-GW-Edition Artemis!7681013BEB29 20131211
MicroWorld-eScan Dropped:Adware.DomaIQ.M 20131211
Norman DomaIQ.YSY 20131210
Panda Adware/MultiToolbar 20131210
Sophos DomainIQ pay-per install 20131211
VIPRE DomaIQ (fs) 20131211

et récemment :

EDIT 12 December

La fausse Flash peux amener à un autre programme d’affiliation de programmes parasites.
La détection n’est pas terrible : https://www.virustotal.com/fr/file/bffaab719535b90f023002d6f4267326a321120114084feeec04e36544106485/analysis/1386856741/

http://adobe.leeshow.net/FlashPlayer7/FR/update.php?installer=Flash_Player_11_for_Other_Browsers&browser_type=KHTML&dualoffer=false
http://cldlr.com/?a=4672&c=56475&s1=&s2=7
http://www.hdplugindownload.com/direct-download.html?version=1.1.5.55&ci=3873&capp=FlashPlayer&ti1=228521889&ti2=4672

SHA256:	bffaab719535b90f023002d6f4267326a321120114084feeec04e36544106485
Nom du fichier :	direct-download.html?version=1.1.5.55
Ratio de détection :	5 / 41
Date d’analyse :	2013-12-12 13:59:01 UTC (il y a 1 minute)

Malwarebytes PUP.Optional.InstallMonetizer 20131212
McAfee Artemis!DF6305482F85 20131212
McAfee-GW-Edition Artemis!DF6305482F85 20131211
Sophos Amonetize 20131212
VIPRE Amonetize (fs) 20131212

Ce dernier propose des Adwares du style Lollipop, BubbleDock, Websteroid etc.

EDIT 6 Janvier

Mi/Fin Décembre des popups ont été ajoutées affichant des alertes.
Lorsque l’internaute surf, la popup s’ouvre et en cliquant sur OK, on atterrit sur la fausse page de mise à jour Java.

La popup s’intitule :

ATTENTION : votre navigateur actuel est dépassée
Une mise à jour de sécurité critique est disponible et vous devez mettre à jour votre lecteur Java Player.
Cette page se fermera automatiquement une fois la mise à jour de sécurité installée.

De plus, la page de Java incorpore un Javascript qui empêche sa fermeture et fait boucler sur la popup d’alerte.
A la manière du ransomware Browlock.

EDIT Janvier 15

La même avec de fausses mises à jour de navigateur WEB : http://malwaredb.malekal.com/index.php?hash=be8b100d6ef43ee6fa36c9c3801fbca5

SHA256:	8cc6b1891a367576be0036df4609c0d5d3f4f26fba84dd90870377f7f05c33c2
Nom du fichier :	Setup.exe
Ratio de détection :	8 / 48
Date d’analyse :	2014-01-15 11:25:26 UTC (il y a 0 minute)

AVG	MalSign.Generic.705	20140115
ESET-NOD32	a variant of Win32/DomaIQ.AU	20140115
GData	Win32.Application.DomaIQ.B	20140115
Malwarebytes	PUP.Optional.BundleInstaller.A	20140115
Rising	PE:PUF.DomaIQ!1.9DE0	20140115
Sophos	DomainIQ pay-per install	20140115
VBA32	BScope.Downware.DomaIQ	20140115
VIPRE	DomaIQ (fs)	20140115

EDIT MAI 2014 : attaque sur les malvertising Fake Flash/Java

Les popups Flash / Java ont pris de grosses proportions, j’ai commencé à les attaquer :

Les campagnes de malvertising Fake / Java (en anglais) : http://malvertising.stopmalwares.com/2014/05/pup-domaiq-fake-javaflash-update-pages/
Le programme PUP.DomaIQ en résumé (Français) : https://forum.malekal.com/supprimer-pup-optional-tuguu-adware-win32-domaiq-t47819.html

Vous notez que sur le premier lien, vers la fin, je note qu’Avast! ne détecte toujours pas l’installeur, j’espère que cela sera corrigé dans les prochains : https://twitter.com/misak19/status/466897774290948096

Voir aussi ce résumé : https://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html

EDIT Octobore 2015 : Fausse page Java (InstallCore)

DomaIQ / SoftPulse ne distribue plus de fausses pages Java et Flash, mais encore active via de fausses mise à jour de lecteur vidéo : SoftPulse / DomaIQ

Par contre InstallCore lui continue de délivrer de fausse page de mise à jour Java (et Adobe Flash aux USA).