Kbot via malvertising

Clicksor et adf.ly toujours aussi actives pour distribuer des malwares via des malvertising :
Weelsof :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=266688&sid=431347&zone=-1&image=3&adtype=1&key=7153049a6bca305ef0337733d6e86abf
http://farmfrenzyforwindows.com/ads/ads728.html
http://strangogo.com/counter/200/cmp/17/stats.html
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330fd3a01cd214e0b56ceM1,6,0,17M7,0,0,0
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/fAAoiter.jar
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/fAAoiter.jar
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/SecretKey.class
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/13941003/SecretKey.class
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/48492345/dAAocum.pdf
http://rrroipfhdpn.stringfree-xyn-kvpk-ygfo.org/4ff54591df9d0c5f7f00002a/505a1b500ea20f155e000051/507330ff3a01cd214e0b5731/4144768/1594938


Divers Exploits Kit via des TDS : Weelsof et Epubb.

et aussi depuis quelques jours un bot via un BlackHole ExploitKit :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=266688&sid=431347&zone=-1&image=3&adtype=1&key=a38a8e476dd80c92a56729be57df4d30
http://farmfrenzyforwindows.com/ads/ads728.html
http://strangogo.com/counter/200/cmp/17/stats.html
http://jc.sarah-coquine.com/stats/posts/ways_uniform.php
http://jc.sarah-coquine.com/stats/posts/ways_uniform.php?ray=0804023606&zbonasq=3e&cweqcs=3605350b3606090b050b&jwzxix=09000200020002

qui va aussi par adf.ly :

http://adf.ly/BYO9n
http://adf.ly/3market.php?c=2&cb=3m&t=98ffdbf665203cd6f3b27ff79c197f0f&d=757569
http://street.allo-hosting.org/ (91.234.104.94)
http://www.hdfree.com.br/css/style.css
http://twitter.com/javascripts/blogger.js
http://twitter.com/statuses/user_timeline/hostdimebr.json?callback=twitterCallback2&count=5
http://jc.sarah-coquine.com/stats/posts/ways_uniform.php (178.33.231.185)
http://adf.ly/callback/98ffdbf665203cd6f3b27ff79c197f0f
http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/15.0.1/update/win32/fr/firefox-15.0.1.complete.mar
http://adf.ly/callback/98ffdbf665203cd6f3b27ff79c197f0f

 

https://www.virustotal.com/file/413e2564220e30570dd9476ee3f0f0a6b9660a8007ff319a379d072c6976daa1/analysis/1349723342/
SHA256: 413e2564220e30570dd9476ee3f0f0a6b9660a8007ff319a379d072c6976daa1
File name: wgsdgsdgdsgsd.exe
Detection ratio: 3 / 44
Analysis date: 2012-10-08 19:09:02 UTC ( 1 heure, 11 minutes ago )

AVG SHeur4.ARBJ 20121008
Comodo Heur.Suspicious 20121008
DrWeb Trojan.DownLoader7.2706 20121008

Le bot ajoute les clefs et fichiers suivants :

O4 - HKCU\..\Run: [Document Explorer] C:/Documents and Settings/Mak/Documents/explorer.exe
O4 - HKCU\..\Run: [Download Manager] C:/Documents and Settings/Mak/Downloads/explorer.exe

Ils effectuent les connexions suivantes :

TCP_MISS/302 373 GET http://purenet.hopto.org/ - DIRECT/8.23.224.90 text/html
TCP_HIT/200 637329 GET http://radiovibemusic.com/rss/bsrecovery.exe - NONE/- application/octet-stream
TCP_MISS/200 489 GET http://94.23.6.186/kb/gate.php - DIRECT/94.23.6.186 text/html
TCP_HIT/200 162040 GET http://radiovibemusic.com/rss/ad123.exe - NONE/- application/octet-stream
TCP_MISS/200 449 GET http://94.23.6.186/kb/gate.php - DIRECT/94.23.6.186 text/html

purenet.hop.org fait office de redirecteur.

Ils téléchargent d'autres malwares comme par exemple ici, un Andromeda/Gamarue/SmokeBot pour voler des informations.
Ce dernier est actuellement bien détecté : https://www.virustotal.com/file/d90e612d188c9a21cad3cf6ff36d9066747756dec58c252e46cce5c485ad03fe/analysis/

SHA256: d90e612d188c9a21cad3cf6ff36d9066747756dec58c252e46cce5c485ad03fe
File name: ad123.exe
Detection ratio: 15 / 44
Analysis date: 2012-10-08 19:30:17 UTC ( 41 minutes ago )

AhnLab-V3 ASD.Prevention 20121008
Avast Win32:Dropper-gen [Drp] 20121008
Comodo UnclassifiedMalware 20121008
DrWeb BackDoor.Andromeda.22 20121008
ESET-NOD32 a variant of Win32/Injector.XLC 20121008
Fortinet W32/Andromeda.OF!tr.dldr 20121008
GData Trojan.Agent.AWYU 20121008
Ikarus Trojan-Downloader.Win32.Andromeda 20121008
Kaspersky Trojan-Downloader.Win32.Andromeda.of 20121008
Kingsoft Win32.Malware.Generic.a.(kcloud) 20121008
Microsoft Worm:Win32/Gamarue.I 20121008
Norman W32/Suspicious_Gen5.HQKF 20121008
Panda Suspicious file 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot Trojan.Win32.A.Downloader.161640.A 20121008

 

Il y a quelques jours, le nombre de Bots étaient d'environ 450 :

Aujourd'hui, environ 2000 :

 EDIT - Novembre 2012

Hack d'Uptobox pour balancer le malware => https://www.malekal.com/en-uptobox-hacked/

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Kbot via malvertising mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum