Malvertising @ juicyads.com : Ransomware Activite illicite demelée

Une nouvelle malvertising sur des sites pornographiques.
Cette fois-ci, c'est la régie de publicité juicyads.com qui est touchée dont voici le traffic Alexa.com :

La malvertising se trouve sur le site funkme.net (173.193.73.86 - SOFTLAYER-4-8).
On voit que adserver.juicyads.com est en referer.

Le compteur redirige vers le TDS qui redirige vers l'exploit sur site WEB.

La bannière malicieuse:

Les adresses utilisées :

http://adserver.juicyads.com/adshow.php?adzone=122801
http://funkme.net/b/728x90.jpg?ref=juiceadv (173.193.73.86)
http://ge.mrfilmscholar.com/hitcounter.php?u=juiceadv
http://zw.sudhatrading.com/ts/in.cgi?juiceadv (195.149.90.122)
http://person.anthonywinter.com/main.php?page=341291bfdc8fba13 - (46.161.43.48)
http://xapi.juicyads.com/pu.php?cb=[removed] http://person.anthonywinter.com/data/ap1.php?f=f2947
http://person.anthonywinter.com/data/hhcp.php?c=f2947
http://person.anthonywinter.com/data/ap1.php?f=f2947
http://person.anthonywinter.com/data/ap1.php?f=f2947
http://person.anthonywinter.com/w.php?f=f2947&e=3
http://person.anthonywinter.com/Edu.jar
http://person.anthonywinter.com/w.php?f=f2947&e=0
 

 

Le dropper est bien détecté : http://www3.malekal.com/malwares/index.php?hash=c79cc18fe3

https://www.virustotal.com/file/6966050cf1f8beb1b14ace0b3d3c2cafe26d4d837d4a0f7a1807c2183e0c9a68/analysis/

HA256: 6966050cf1f8beb1b14ace0b3d3c2cafe26d4d837d4a0f7a1807c2183e0c9a68
File name: c79cc18fe334109f2dcefc8b817d7090
Detection ratio: 11 / 42
Analysis date: 2012-05-02 07:25:05 UTC ( 31 minutes ago )More detailsAntivirus Result Update
AhnLab-V3 - 20120501
AntiVir TR/Crypt.XPACK.Gen 20120502
BitDefender Gen:Variant.Kazy.68142 20120502
DrWeb Trojan.Siggen3.61277 20120502
Emsisoft Win32.SuspectCrc!IK 20120502
F-Secure Gen:Variant.Kazy.68142 20120502
GData Gen:Variant.Kazy.68142 20120502
Ikarus Win32.SuspectCrc 20120502
Kaspersky Trojan-Ransom.Win32.Foreign.ord 20120502
Microsoft Trojan:Win32/Reveton.A 20120502
NOD32 a variant of Win32/Kryptik.AEYM 20120502
nProtect Trojan/W32.Foreign.253536 20120502

 

On aboutit aux Ransomware Fake Police de type  Activite illicite demeléehttps://www.malekal.com/virus-police-nationale-francaise-activite-illegale-revelee/

 

Encore une fois, pour ne pas être infecté par ces Malvertising qui propage des exploits sur site WEB - Maintenez vos logiciels à jour.

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising @ juicyads.com : Ransomware Activite illicite demelée mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum