Malvertising sur drtuber.com à travers trafficholder.com

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Une nouvelle Malvertising qui au moment où sont écrites ces lignes conduit au Virus Sacem.
La malvertising est en autre présente sur le site de streaming pornographique drtuber.com à travers la régie trafficholder.com

Le ranking Alexa.com est assez elevé, ce qui confirme encore que les malvertising sont bien des portes d'entrée pour les sites à haut traffic et que les sites pornographiques sont bien visés, comme je disais dans le précédent billet : Revue de Presse : rapport Symantec et les malvertising ?

hit.trafficholder.com conduit à sun-porno-movies.info (88.214.202.129 - GB)

Ce dernier peux occassionnellement rediriger vers l'exploit Kit, ici du BlackHole

On peux aussi être redirigé vers une publicité classique chez livejasmin.com - Celle-ci est non malicieuse.

Les connexions :

http://www.drtuber.com/player/config.php?h=19f299e1cd07fe4d6b3067718ddd30ef&t=1336560825&vkey=96210e27daca419914d8&pkey=66b58c28d97ab4a9a83aa21545a96bf7
http://www.drtuber.com/tracker.php?target=player&click=1&url=1
http://www.drtuber.com/th.php
http://www.trafficholder.com/in/in.php?drtuber
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=drtuber&n=&r=
http://sun-porno-movies.info/2/go.php?sid=1
http://relativea.floweroflifebodywork.com/index.php?p=60753f03fbbd2605
http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20
http://relativea.floweroflifebodywork.com/data/hhcp.php?c=e2e20
http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20
http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20
http://relativea.floweroflifebodywork.com/Cal.jar
http://50.7.235.227/w.php?f=e2e20&e=0
http://50.7.235.227/w.php?f=e2e20&e=3

La détection :

https://www.virustotal.com/file/7871359b2529d9e9811834183bac3caf780e9688318540baa2d6dcfb88aeb8ac/analysis/

HA256:	7871359b2529d9e9811834183bac3caf780e9688318540baa2d6dcfb88aeb8ac
File name:	a23bfc97e2bc46d272f5eece97a44610
Detection ratio:	6 / 42
Analysis date:	 2012-05-09 10:54:50 UTC ( 14 minutes ago )

AhnLab-V3	Trojan/Win32.Plosa	20120508
Avast	Win32:Dropper-KVS [Drp]	20120509
Comodo	TrojWare.Win32.Kryptik.ASR	20120509
GData	Win32:Dropper-KVS 	20120509
Kaspersky	HEUR:Trojan.Win32.Generic	20120509

A noter que ce n'est pas la première fois que cette IP délivre des ransomwares Fake Police.
Pas mal de BlackHole avec des domaines différentes conduisent au final à celle-ci : http://www3.malekal.com/malwares/index.php?&url=50.7.235.227

Les adresses du Virus Sacem contactées dans mon cas :

TCP_MISS/302 499 GET http://dersupermarketer.com/partner3/redirector/redirector.php - DIRECT/195.208.185.40 text/html
TCP_MISS/200 2477 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/index.php - DIRECT/195.208.185.40 text/html
TCP_MISS/302 499 GET http://dersupermarketer.com/partner3/redirector/redirector.php - DIRECT/195.208.185.40 text/html
TCP_MISS/200 3488 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/fresh_buttons/buttons.css - DIRECT/195.208.185.40 text/css
TCP_MISS/200 39008 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/bg_fr.gif - DIRECT/195.208.185.40 image/gif
TCP_MISS/200 976 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/js/keyboard.js - DIRECT/195.208.185.40 application/javascript
TCP_MISS/200 327 GET http://dersupermarketer.com/partner3/universalpanel/gate.php?hwid=[removed]&pc=[removed]&localip=[removed]&winver=Windows%20XP%20Professional%20x32 - DIRECT/195.208.185.40 text/html

Il semblerait d'après cette page http://trafficholder.com/top.html que trafficbroker.com et trafficholder.com soient liés, or trafficbroker.com a aussi des problèmes de malvertising https://www.malekal.com/2012/04/21/malvertising-delivery-trafficbroker-com-delivre-ransomware-activite-illicite-demelee/

On comprend alors pourquoi la campagne de ce ransomware est très virulente depuis quelques temps :

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...