Malvertising clicksor conduit à un spambot

Dernière Mise à jour le

Le tout premier virus gendarmerie n’est plus distribué par la malveritsing clicksor.
 Le nouveau virus gendarmerie et virus Sacem l’ont été avec aussi Sinowal (ça devrait continuer pour Sinowal, je pense).

Aujourd’hui un nouveau malware est distribué.


La bannière malicieuse :

L’exploit kit :

Le fichier WMPRWISE.EXE  est droppé, ce dernier se trouve dans %APPDATA% et est caché.

La détection : https://www.virustotal.com/file/a5832167852819df4b09c91cb6cb0ff144d75a6cb01ee6dec92cc92d19fe5359/analysis/

DrWeb    Trojan.Siggen.65039
Kaspersky Packed.Win32.Katusha.o
McAfee PWS-Zbot.gen.hv


Dans les strings en mémoires, on peux voir des pages dont une page smtps.php
Le malware fait notamment des POSTS sur les IP suivantes :

TCP_MISS/504 1529 POST http://217.20.112.58/stat1.php - DIRECT/217.20.112.58 text/html
TCP_MISS/401 704 POST http://217.20.115.50/stat1.php - DIRECT/217.20.115.50 text/html
TCP_MISS/404 1289 POST http://74.125.226.176/stat1.php - DIRECT/74.125.226.176 text/html

 
Les connexions SMTP :
 
Exemple de mails envoyés :
Le lien conduit à une page Canadian Pharmacy :
 

Malwarebyte’s Anti-Malware gère ce malware.
Un malware beaucoup plus simple à éradiquer que les ransomware Fake Police qui bloquent les PC.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising clicksor conduit à un spambot mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Une réponse

  1. remarque 27 mars 2012

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez