Forum Macbidouille hacké => rogue

Après Netcourrier, le forum lagarde et FranceHardware, un autre cas de hack pour ajouter un javascript malicieux conduisant à un exploit sur site WEB.
Vu sur le forum : https://forum.malekal.com/rogue-system-restore-t34661.html#p268221

Le site MacBidouille a un rank de 10 / 15k sur Alexa :

Sur le site rien de spécial… par contre, une connexion au forum, montre un contact vers cette URL en Turquie :

1320053199.019    357 192.168.1.27 TCP_MISS/502 846 GET http://qelzdqbc.dnset.com/main.php?page=2701c6e26dca8a78 - DIRECT/94.103.36.49 text/html

Pas de bol (enfin pour moi) mais plutôt bien pour les visiteurs, le lien ne conduit plus à un malware à l’heure où sont écrites ces lignes – d’après le message source, l’infection est de type rogue/scareware.

Ci-dessous le JavaScript offusqué en tête de page, ce dernier n’apparaît qu’à la première connexion. L’IP du visiteur est ensuite enregistrée et le script malicieux n’apparaît plus par la suite.

La détection du script est pas formidable : http://www.virustotal.com/file-scan/report.html?id=1c920d2b02ddd44e241dad55bf25bd953c47b0f69d80d15af0ac781fe7ffdaf0-1320052313

File name: exploit.html
Submission date: 2011-10-31 09:11:53 (UTC)
Current status: finished
Result: 2/ 43 (4.7%)
ClamAV	0.97.3.0	2011.10.31	PUA.HTML.Crypt
Kaspersky	9.0.0.837	2011.10.30	HEUR:Trojan.Script.Iframer

 

Sur le forum, pas de post concernant ce problème, la majorité des visiteurs étant certainement sous Mac et probablement sans antivirus, aucune alerte n’a dû être donnée.
Encore une fois, maintenez vos logiciels à jour (surtout Java et les produits Adobe) afin de ne pas être vulnérables à ces attaques.

EDIT – j’ai réussi à avoir l’infection :

61	200	HTTP	forum.macbidouille.com	/	18 243		text/html	iexplore:2204
62	200	HTTP	kzwidhkrrq.4dq.com	/main.php?page=2701c6e26dca8a78	96 106		text/html	iexplore:2204
81	200	HTTP	kzwidhkrrq.4dq.com	/w.php?f=16&e=4	493 568	must-revalidate, post-check=0, pre-check=0  Expires: Mon, 31 Oct 2011 10:04:35 GMT	application/x-msdownload	iexplore:2204
82	200	HTTP	kzwidhkrrq.4dq.com	/w.php?f=16&e=2	493 568	must-revalidate, post-check=0, pre-check=0  Expires: Mon, 31 Oct 2011 10:04:37 GMT	application/x-msdownload	javaw:2392
83	200	HTTP	kzwidhkrrq.4dq.com	/content/field.jar	5 758		application/java-archive	java:2472


Le dropper : http://www3.malekal.com/malwares/index.php?&hash=b704f966146f4b33baa8ded059212f3c

Avast! fait le job :

(Visité 98 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet