Malvertising clicksor conduit à un spambot

Le tout premier virus gendarmerie n'est plus distribué par la malveritsing clicksor.
 Le nouveau virus gendarmerie et virus Sacem l'ont été avec aussi Sinowal (ça devrait continuer pour Sinowal, je pense).

Aujourd'hui un nouveau malware est distribué.


La bannière malicieuse :

L'exploit kit :

Le fichier WMPRWISE.EXE  est droppé, ce dernier se trouve dans %APPDATA% et est caché.

La détection : https://www.virustotal.com/file/a5832167852819df4b09c91cb6cb0ff144d75a6cb01ee6dec92cc92d19fe5359/analysis/

DrWeb    Trojan.Siggen.65039
Kaspersky Packed.Win32.Katusha.o
McAfee PWS-Zbot.gen.hv


Dans les strings en mémoires, on peux voir des pages dont une page smtps.php
Le malware fait notamment des POSTS sur les IP suivantes :

TCP_MISS/504 1529 POST http://217.20.112.58/stat1.php - DIRECT/217.20.112.58 text/html
TCP_MISS/401 704 POST http://217.20.115.50/stat1.php - DIRECT/217.20.115.50 text/html
TCP_MISS/404 1289 POST http://74.125.226.176/stat1.php - DIRECT/74.125.226.176 text/html

 
Les connexions SMTP :
 
Exemple de mails envoyés :
Le lien conduit à une page Canadian Pharmacy :
 

Malwarebyte's Anti-Malware gère ce malware.
Un malware beaucoup plus simple à éradiquer que les ransomware Fake Police qui bloquent les PC.

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising clicksor conduit à un spambot mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum