Malvertising clicksor : Ransomware “Activite illicite Démélée”

Une autre malvertising toujours pour la campagne du ransomware Activite illicite Démélée.
Cette fois-ci une malvertising sur les sites de streaming/téléchargement chez clicksor (pour changer).

La malvertising en question :

La page http://super.ham-radio-op.net/?rid=d0021cbfe86c487ee023eabde9ca0018 (109.236.84.194 - NL) distribue la malvertising qui contient deux iframes.
L'une pour afficher la publicité et l'autre pour rediriger vers l'exploit.

La publicité se trouve sur la page http://www.usapaydaylocators.com/ (69.64.147.100)

L'exploit charge un fichier ms0cfg32.exe : http://www3.malekal.com/malwares/index.php?hash=6175238eeaa5235905fdc051b748e9c1

https://www.virustotal.com/file/f9a092c3742badf048e036d272cb35c587b621360e23445e8c1556cfdf437840/analysis/SHA256: f9a092c3742badf048e036d272cb35c587b621360e23445e8c1556cfdf437840
File name: 6175238eeaa5235905fdc051b748e9c1
Detection ratio: 3 / 42
Analysis date: 2012-04-22 09:50:37 UTC ( 23 minutes ago )Fortinet    W32/Crypt.AABB!tr    20120422
Kaspersky    UDS:DangerousObject.Multi.Generic    20120422
Symantec WS.Reputation.1 20120422

qui créé un fichier svchosts.exe dans %TEMP qui lance à son tour un fichier setup.exe dans le dossier Downloads de Mes documents.

puis le processus wuauclt.exe est lancé et est injecté - ce dernier télécharge ce qui va bien et créer la clef Run.

 

La page du ransomware est affichée :

Les connexions établies pour cette variante :

TCP_MISS/200 8315 GET http://photoshopstudy10.in/00007.dll.pack - DIRECT/64.62.146.83 application/x-msdos-program
TCP_MISS/200 365 GET http://3dmaxstudy10.in/pin/gate.php?getpic=getpic - DIRECT/64.62.146.82 text/html
TCP_MISS/200 345 GET http://3dmaxstudy10.in/pin/gate.php?getip=getip - DIRECT/64.62.146.82 text/html
TCP_MISS/200 333 GET http://3dmaxstudy10.in/pin/gate.php?user=00007&uid=%7B93D614BD-D110-11DE-BC79-806D6172696F%7D00007&os=2 - DIRECT/64.62.146.82 text/html 
 

NOTE - Le malware modifie les permissions sur la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ce qui peux empécher le fix par HijackThis par exemple.

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising clicksor : Ransomware “Activite illicite Démélée” mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum