J’ai eu une redirection vers un exploit kit depuis le site uptobox.
Difficile de dire si c’est un hack ou une malvertising.
Uptobox ~1,4k sur Alexa.com
La redirection est faite vers l’adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php
=> http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5
SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97
Nom du fichier : 2010735.exe
Ratio de détection : 1 / 46
Date d’analyse : 2013-03-23 11:20:30 UTC (il y a 0 minute)
Le malware créé une clef autorun pour lancer le fichier qpou.exe puis charge un fichier .tmp
Le malware est un spambot (je ne sais pas quelle famille) :
SHA256: 7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5
Nom du fichier : lphnf4C63132C.tmp
Ratio de détection : 33 / 46
Date d’analyse : 2013-03-23 11:21:00 UTC (il y a 1 minute)
Agnitum Trojan.Lukan!7tdYJlag6ww 20130322
AhnLab-V3 Win-Trojan/Spammer.310784 20130323
AntiVir TR/Crypt.XPACK.Gen 20130323
BitDefender Trojan.Generic.KDV.852464 20130323
CAT-QuickHeal Trojan.Jorik.Lukan.n 20130323
ClamAV Win.Trojan.Agent-230795 20130323
Commtouch W32/Trojan.OMME-4024 20130322
Comodo UnclassifiedMalware 20130323
ESET-NOD32 Win32/SpamTool.Agent.NFL 20130323
F-Secure Trojan.Generic.KDV.852464 20130323
Fortinet W32/Jorik_Lukan.N!tr 20130323
GData Trojan.Generic.KDV.852464 20130323
Ikarus Trojan.Crypt 20130323
Jiangmin Trojan/Jorik.jnmi 20130323
K7AntiVirus Trojan 20130322
Kaspersky Trojan.Win32.Jorik.Lukan.n 20130323
McAfee RDN/Generic.dx!ks 20130323
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.C 20130323
MicroWorld-eScan Trojan.Generic.KDV.852464 20130323
Norman Troj_Generic.HBYJI 20130323
nProtect Trojan.Generic.KDV.852464 20130323
Panda Trj/OCJ.C 20130323
Sophos Mal/EncPk-CK 20130323
SUPERAntiSpyware Trojan.Agent/Gen-Cryptic 20130323
Symantec WS.Reputation.1 20130323
TheHacker Trojan/Spam.Agent.nfl 20130322
TrendMicro TROJ_JORIK.BH 20130323
TrendMicro-HouseCall TROJ_JORIK.BH 20130323
VBA32 Trojan.Jorik.Lukan.n 20130323
VIPRE Trojan.Win32.Generic!BT 20130323
ViRobot Trojan.Win32.S.Agent.310784.A 20130323
Exemple de SPAM :
Cet exploitkit est relativement courant, notamment il y a un topic sur le forum avec ce dernier : https://forum.malekal.com/virus-sur-site-internet-t42363.html
A noter que ce n’est pas la première fois qu’il y a un hack sur Uptobox : https://www.malekal.com/2012/11/28/en-uptobox-hacked/
J’ai eu une seconde fois l’exploitkit et c’est à chaque fois Uptobox qui fait un moved 302, donc ça semble être un hack sur le site.
La redirection est loin d’être systématique.
EDIT 2 Avril
Suite au billet, Uptobox m’a contacté en confirmant le Hack.
A ce jour, le problème est réglé.
Bonsoir,
Eset toujours très performant.
Les sites de téléchargements toujours aussi dangereux.
@+
téléchargement*
Bonjour.
Je me demandais quel est la méthode que tu emploies pour lister les mails envoyés par les spambot..
Redirection des requêtes SMTP vers un SMTP qui t’appartiens? (a coup d’édition du fichier host)
Parce que dans ce cas, si le malware est en .NET et que l’envoi de mail utilise SSL ya par défaut vérif du certificat du serveur par OCSP.. :/
Bonjour,
Une question peut être bête, si on passe par JDownloader et Flashgot est ce qu’on est quand même exposé à cet exploit ? Merci
@Sammy : c’est une redirection iptables vers un mta sur le serveur, après y a plus qu’à lire les mails.
@Thom : si le SWF n’est pas chargé, pas de redirection.
Moi, ce qui m’étonne c’est que ça n’arrive pas plus souvent. Bizarrement les hosters sont rarement infectieux, ce sont plutôt les sites de liens qui le sont, ce qui est logique. Mais néanmoins, vu le traffic que génèrent certains de ces hosters, je suis étonné qu’ils ne soient pas plus souvent la cible de campagnes de malvertising.
Le problème est toujours d’actualité?
Pour le moment, c’est corrigé.