Malvertising Clicksor avec un faux message de mise à jour Firefox

Les malvertising Clicksor toujours actives qui en plus d'embarquer un habituel exploit conduit aussi vers un faux message de mise à jour Firefox.
Vous noterez que le message est en français avec un faux code d'erreur : 0x00000000

Ce dernier propose le fichier http://filehost101.in/tds777/winsetup.exe qui droppe le stealer Zbot.

https://www.virustotal.com/file/40ce4ccb865641a4c2122aa0b2c4e0e5ec469e5e93f732a1ef62a4fdc2292fba/analysis/

SHA256: 40ce4ccb865641a4c2122aa0b2c4e0e5ec469e5e93f732a1ef62a4fdc2292fba
File name: 1586031
Detection ratio: 6 / 42
Analysis date: 2012-05-24 08:40:41 UTC ( 14 minutes ago )

BitDefender Trojan.Generic.KD.630925 20120524
DrWeb Trojan.PWS.Panda.1986 20120524
F-Secure Trojan.Generic.KD.630925 20120524
GData Trojan.Generic.KD.630925 20120524
Kaspersky HEUR:Trojan.Win32.Generic 20120524
Panda Trj/pck_Noupack.a 20120524

Un résumé des URLs :

http://serw.clicksor.com/newServing/links.php?zone=7152&chad=1&adu=2&cs=&adtype=7&nid=1&sid=176359&pid=90223&spid=0&image=2&memkey=fab83582090bdb4ae96f025edda93e97&durl=&lq=0&lb=129&qp=YF4lKC_7JScg-Scu-yQo91tZYCckLiT-JTXzZl4r_iYiXmY0fv4jMyInKyd-Jw
http://ads.traff.co/redir.php?url=http%3A%2F%2Fpressbus.info%2F
http://rplex60.in/in.cgi?6 (188.72.213.127)
http://rplex60.in/in.cgi?20
http://rplex60.in/in.cgi?2
http://jasduus55.info/weblogs/czeugqcpelapdo3.pdf
http://jasduus55.info/weblogs/yofvkzyshnisdpf3.jar
http://jasduus55.info/weblogs/yrktawarjrcsg9.jar
http://95.168.187.15/weblogs/bzc1.php?i=6&f=c0af9&e=0
http://jasduus55.info/weblogs/com.class
http://jasduus55.info/weblogs/edu.class
http://jasduus55.info/weblogs/net.class
http://jasduus55.info/weblogs/org.class

http://95.168.187.15/weblogs/bzc1.php?i=6&f=c0af9&e=0 est le dropper dont voici la fiche http://www3.malekal.com/malwares/index.php?hash=735acdaeffc721e0e694aaac4b0ab99c 

Lien VirusTotal https://www.virustotal.com/file/900cda3fe92b83b5c201b0442dc800fdde79775da1e42a1952baa7183c0fccb4/analysis/

SHA256: 900cda3fe92b83b5c201b0442dc800fdde79775da1e42a1952baa7183c0fccb4
File name: 735acdaeffc721e0e694aaac4b0ab99c
Detection ratio: 1 / 42
Analysis date: 2012-05-24 07:40:13 UTC ( 1 heure, 18 minutes ago )

Kaspersky    Packed.Win32.Krap.iu    20120524

C'est aussi un  Zbot - La Clef Run ajoutée :

O4 - HKCU\..\Run: [Odmyypazof] "C:\Documents and Settings\Mak\Application Data\Hoas\acyn.exe"

A noter que filehost101.in hébergent plusieurs autres malwares sur un BlackHole : http://www3.malekal.com/malwares/index.php?&url=filehost101.in

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising Clicksor avec un faux message de mise à jour Firefox mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum