Malvertising : asrvstatsmanager.com droppe malware via videobb et adserve.com

Vu en commentaire lorsque j’ai demandé où ont été choppés les malwares.
Merci à Splatch pour la réponse.

Du coup, un petit tour sur videobb et hop.. un exploit java

Une autre capture avec la pub en bas de videobb avec une applet Java qui se charge :

et Adobe Reader qui tente de charger le malware via un Exploit PDFL’adresse malicieuse est asrvstatsmanager.com chargée par la régie adserve.com

Un whois sur le domaine donne asrvstatsmanager.com IP 188.95.53.124 (NL) :

Administrative Contact:
    Adonis Partner Group
    Adonis Papandreou        (adonis.papandreou@ze.ro)
    12 Olympionikou
    Anthens
    Fthiotis,15237
    GR
    Tel. +000.00000000

puis connexion à un rotator asrvstatsmanager.com/in.cgi?2 pour rediriger vers le BlackHole
Pour un aperçu de l’étendu des dégâts se reporter à la page : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

et le javascript malicieux du BlackHole et on déroule le kit, ce qui donne au final :

ad.adserve.com	/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751	1 472	Expires: Thu, 01 Jan 1970 00:00:00 GMT	text/html; charset=utf-8	firefox:592
asrvstatsmanager.com	/ad_track.php?s=2&aid=123&cn=eu&cont	2 586		text/html	firefox:592
asrvstatsmanager.com	/in.cgi?2&ab_iframe=1&ab_badtraffic=0&antibot_hash=1743421938&ur=1&HTTP_REFERER=http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/xxxx
gregoryhansonbloggers.com	/forum.php?tp=ee39f2389ea07c28	91 139		text/html	firefox:592
gregoryhansonbloggers.com	/content/fdp1.php?f=19	70 698		application/pdf	firefox:592
gregoryhansonbloggers.com	/content/fdp1.php?f=19	70 745		application/pdf	firefox:592
gregoryhansonbloggers.com	/content/fdp1.php?f=19	70 607		application/pdf	firefox:592
gregoryhansonbloggers.com	/w.php?f=19&e=3	173 056	must-revalidate, post-check=0, pre-check=0  Expires: Tue, 13 Dec 2011 18:30:23 GMT	application/x-msdownload	acrord32:320

Une capture où l’on peux voir que le dropper a réécrit le fichier C:\Windows\explorer.exe – le fichier voit son hash modifié.
On reconnait donc le Trojan.Winlock/Ransomware Gendarmerie : https://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Le mécanisme reste le même au niveau de l’infection typique des exploits sur site WEB.

Ce qui est assez navrant, c’est que l’on a pas affaire à un Malvertising (le premier Virus Police / Virus Bundespolizei – Malvertising de clicksor.com sur site de streaming) mais deux Malvertising en circulation, une volonté aussi des auteurs de malwares de viser les sites de streaming et en l’occurence ici vidéobb qui sont très à la mode et donc de quoi viser un maximum d’internautes d’où la forte propagation de cette infection.

 

Vous pouvez filtrer les pubs via Adblock sur Firefox, par exemple, voir la page Sécuriser Firefox
Et surtout…
Et surtout je ne le répèterai jamais assez, maintenez à jour vos logiciels, si vous ne Pensez pas à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), votre PC est vulnérable aux exploits sur site WEB. qui ne vont pas que les sites de streaming !

Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

EDIT 14 Décembre 2011 :

adserve.com contacté – réponse mais le malvertising est toujours en ligne …………  :

Hi Malekal,

Thanks for the information provided. We sure do not allow with the malvertising on our platform. Please feel free to let us know if you noticed any malvertising the next time too.
many thanks,

EDIT mi-Janvier 2012 :

De retour… ça va donc encore faire mal.

http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751
http://sp-adhitcounter.com/ad_track.php?s=2&aid=123&cn=eu&conte
http://sp-adhitcounter.com/in.cgi?2&ab_iframe=1&ab_badtraffic=0&antibot_hash=1851923371&ur=1&HTTP_REFERER=http://ad.adserve.com/delivery/bn/i/s/4/z/1/b/1-2-3/d/videobb.com/t/3/n/3/bs/2/cs/1/fs/1/ut/1/fp/1/sh/1/ck/c305cfe65726cc77c97368895ddd9751&aid=123&cn=eu&conte
http://wild-horses-workshops.com/content/fdp1.php?f=19 (178.18.250.226)
http://wild-horses-workshops.com/content/cph2.php?c=19
http://wild-horses-workshops.com/content/fdp1.php?f=19
http://wild-horses-workshops.com/content/fdp1.php?f=19
http://wild-horses-workshops.com/content/v1.jar
http://wild-horses-workshops.com/w.php?f=19&e=3

Mars 2012 :

La malvertising sur adserve est revenue – Celle-ci pointe vers le même dropper que la malvertising clicksor : (3/43)  http://www3.malekal.com/malwares/index.php?hash=99a59a555d8fb6c9986b6915916d260e

(Visité 152 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet