Malvertising clicksor conduit à un spambot

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

Le tout premier virus gendarmerie n'est plus distribué par la malveritsing clicksor.
 Le nouveau virus gendarmerie et virus Sacem l'ont été avec aussi Sinowal (ça devrait continuer pour Sinowal, je pense).

Aujourd'hui un nouveau malware est distribué.


La bannière malicieuse :

L'exploit kit :

Le fichier WMPRWISE.EXE  est droppé, ce dernier se trouve dans %APPDATA% et est caché.

La détection : https://www.virustotal.com/file/a5832167852819df4b09c91cb6cb0ff144d75a6cb01ee6dec92cc92d19fe5359/analysis/

DrWeb    Trojan.Siggen.65039
Kaspersky Packed.Win32.Katusha.o
McAfee PWS-Zbot.gen.hv


Dans les strings en mémoires, on peux voir des pages dont une page smtps.php
Le malware fait notamment des POSTS sur les IP suivantes :

TCP_MISS/504 1529 POST http://217.20.112.58/stat1.php - DIRECT/217.20.112.58 text/html
TCP_MISS/401 704 POST http://217.20.115.50/stat1.php - DIRECT/217.20.115.50 text/html
TCP_MISS/404 1289 POST http://74.125.226.176/stat1.php - DIRECT/74.125.226.176 text/html

 
Les connexions SMTP :
 
Exemple de mails envoyés :
Le lien conduit à une page Canadian Pharmacy :
 

Malwarebyte's Anti-Malware gère ce malware.
Un malware beaucoup plus simple à éradiquer que les ransomware Fake Police qui bloquent les PC.

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising clicksor conduit à un spambot mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum