Malvertising Samsung – Virus Gendarmerie controle automatique informationnel (Tr/Weelsof)

Une petite poussé de la variante Virus Gendarmerie controle automatique informationnel sur le forum :

Ce dernier pour ne pas changer est refourgué par des Malvertising en autre sur des sites pornographiques.
Après Plugcrush.com : https://www.malekal.com/ransomware-win32weelsof-via-malvertising-plugrush-com/

Une autre malvertising pour Samsung Nexus en Allemand.

Le responsable semble être trafficholder :
http://www.suckchannel.com/sell.php (94.75.211.238)
http://trafficholder.com/in/in.php?sexulus
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=sexulus&n=&r=
http://firstdealtoday.info/nexus/ (5.9.25.98)

Le domaine date du mois de Mai :

Domain ID:D46323037-LRMS
Domain Name:FIRSTDEALTODAY.INFO
Created On:04-May-2012 13:51:53 UTC
Last Updated On:04-May-2012 13:51:54 UTC
Expiration Date:04-May-2013 13:51:53 UTC

La malvertising lance un TDS via une iframe : http://mydevicelist.com/in.cgi?4&parameter=galaxys (78.46.82.187=

Domain Name: MYDEVICELIST.COM
Registrar: ENOM, INC.
Updated Date: 04-apr-2012
Creation Date: 04-apr-2012
Expiration Date: 04-apr-2013

 


Le TDS conduit ensuite à l'exploitkit : http://www3.malekal.com/malwares/index.php?hash=d7dbf1e337446b49390290800571d906

TCP_MISS/200 36644 GET http://fuck.toutges.us/files.php?page=anime&u=4fbc7ecd41e8d6c003000003&s=4fbe087841c6c7cc09000015&id=4ff32a379234dbf816453394&file=pdf7.pdf - DIRECT/91.220.84.237 application/pdf
TCP_MISS/200 61702 GET http://fuck.toutges.us/loadorrndname.php?x=x&u=4fbc7ecd41e8d6c003000003&s=4fbe087841c6c7cc09000015&id=4ff32a379234dbf816453394&spl=emailInf_7 - DIRECT/91.220.84.237 application/octet-stream
TCP_MISS/404 423 GET http://fuck.toutges.us/loadorrndname.php?x=x&u=4fbc7ecd41e8d6c003000003&s=4fbe087841c6c7cc09000015&id=4ff32a379234dbf816453394&spl=emailInf_7&f=1 - DIRECT/91.220.84.237 text/html

La connexion au C&C de Weelsof (téléchargement de l'image etc) :
TCP_CLIENT_REFRESH_MISS/200 82794 GET http://ilovewholeworld.288536.com/adv/arch/design_54000000 - DIRECT/95.163.104.67 text/plain
TCP_MISS/200 338 GET http://ilovewholeworld.288536.com/adv/get.php - DIRECT/95.163.104.67 text/html
TCP_MISS/200 331 POST http://ilovewholeworld.288536.com/adv/topic.php - DIRECT/95.163.104.67 text/html
TCP_MISS/200 331 POST http://ilovewholeworld.288536.com/adv/topic.php - DIRECT/95.163.104.67 text/html

 

La détection est de 3/42 sur VirusTotal : https://www.virustotal.com/file/0eebd8658f5c94daa4f9fafb6ecf1582a1384d8dfe55ffeed93d70b4d5378ee6/analysis/

SHA256: 0eebd8658f5c94daa4f9fafb6ecf1582a1384d8dfe55ffeed93d70b4d5378ee6
File name: d7dbf1e337446b49390290800571d906
Detection ratio: 3 / 42

Analysis date: 2012-07-03 17:26:12 UTC ( 24 minutes ago )
Kaspersky Trojan-Downloader.Win32.Agent.wdoc 20120703
NOD32 Win32/Weelsof.B 20120703
SUPERAntiSpyware Trojan.Agent/Gen-FakeAlert[ZBot] 20120703

 

TrafficHolder faisant partie des régies de publicité qui joue le jeu, je vais les contacter en espérant qu'ils fassent le nécessaire

EDIT

C'est fait !

 

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
bouton facebookbouton twitterbouton whatapps
Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising Samsung – Virus Gendarmerie controle automatique informationnel (Tr/Weelsof) mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :

Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum

Tags: