Malvertising sur dl-protect.com via hooqy.com et clicksor

Dernière Mise à jour le

dl-protect.com est un service qui permet de déposer des liens de téléchargement.
Cela permet de cacher le referer mais aussi de proposer un système de CAPTCHA contre les téléchargements automatisés.
Le service est utilisé par les sites de Warez/Streaming et autres pour proposer de télécharger des programmes, films etc.

De ce fait, cela peux toucher beaucoup de monde en témoigne le graphe alexa.com :

 

Le site conduit à une malvertising qui conduit à un exploit sur site WEB :


Le code habituel. Une image et une iframe qui conduit au BlackHole

La bannière malicieuse :


C’est en fait clicksor qui charge celle-ci :

Les liens BlackHole :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=159185&sid=241812&zone=-1&image=3&adtype=1&key=8bea49e5152adb5a2d9dbd8496455335 (199.21.148.108)
http://totyballl.info/43bf6353ecaa0e20c9631bcb680ea963
http://untidy.alnilin.info/main.php?page=a306572deb323e11 (84.19.161.156)
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/content/cph2.php?c=27
http://untidy.alnilin.info/content/v1.jar
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/com.class
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/w.php?f=27&e=3
http://untidy.alnilin.info/main.php?page=a306572deb323e11
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/content/cph2.php?c=27
http://untidy.alnilin.info/com.class

Ici un exploit Java qui lance le payload :

 et une connexion à un serveur WEB 95.57.120.108

netname: IP_Fedinyak
descr: Fedinyak Sergey
descr: Co-location servers
descr: Karagandy
country: KZ

qui affiche la page relative au ransomware Virus Gendarmerie :

Au vu de l’audience de dl-protect, on peux s’attendre à une relance de la campagne du ransomware Virus Gendarmerie qui déjà en Décembre avait toujours environ 30k personnes.

A noter que l’adresse donnée pour hoqqy.com que l’on retrouve sur le site :

Administrative Contact:
Christophe, Alen [email protected]
 174 Skyway Avenue Toronto, Ontario M9W 2G2
Canada
4164772325 Fax —

pointe en plein milieu de la pampa :

 

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising sur dl-protect.com via hooqy.com et clicksor mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

4 Comments

  1. Fiev 16 janvier 2012
  2. Fiev 16 janvier 2012
  3. malekalmorte 16 janvier 2012
  4. gui78120 28 juin 2014

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez