Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.
J'ai eu une redirection vers un exploit kit depuis le site uptobox.
Difficile de dire si c'est un hack ou une malvertising.
Uptobox ~1,4k sur Alexa.com
La redirection est faite vers l'adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php
=> http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5
SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97
Nom du fichier : 2010735.exe
Ratio de détection : 1 / 46
Date d'analyse : 2013-03-23 11:20:30 UTC (il y a 0 minute)
Le malware créé une clef autorun pour lancer le fichier qpou.exe puis charge un fichier .tmp
Le malware est un spambot (je ne sais pas quelle famille) :
SHA256: 7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5
Nom du fichier : lphnf4C63132C.tmp
Ratio de détection : 33 / 46
Date d'analyse : 2013-03-23 11:21:00 UTC (il y a 1 minute)
Agnitum Trojan.Lukan!7tdYJlag6ww 20130322
AhnLab-V3 Win-Trojan/Spammer.310784 20130323
AntiVir TR/Crypt.XPACK.Gen 20130323
BitDefender Trojan.Generic.KDV.852464 20130323
CAT-QuickHeal Trojan.Jorik.Lukan.n 20130323
ClamAV Win.Trojan.Agent-230795 20130323
Commtouch W32/Trojan.OMME-4024 20130322
Comodo UnclassifiedMalware 20130323
ESET-NOD32 Win32/SpamTool.Agent.NFL 20130323
F-Secure Trojan.Generic.KDV.852464 20130323
Fortinet W32/Jorik_Lukan.N!tr 20130323
GData Trojan.Generic.KDV.852464 20130323
Ikarus Trojan.Crypt 20130323
Jiangmin Trojan/Jorik.jnmi 20130323
K7AntiVirus Trojan 20130322
Kaspersky Trojan.Win32.Jorik.Lukan.n 20130323
McAfee RDN/Generic.dx!ks 20130323
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.C 20130323
MicroWorld-eScan Trojan.Generic.KDV.852464 20130323
Norman Troj_Generic.HBYJI 20130323
nProtect Trojan.Generic.KDV.852464 20130323
Panda Trj/OCJ.C 20130323
Sophos Mal/EncPk-CK 20130323
SUPERAntiSpyware Trojan.Agent/Gen-Cryptic 20130323
Symantec WS.Reputation.1 20130323
TheHacker Trojan/Spam.Agent.nfl 20130322
TrendMicro TROJ_JORIK.BH 20130323
TrendMicro-HouseCall TROJ_JORIK.BH 20130323
VBA32 Trojan.Jorik.Lukan.n 20130323
VIPRE Trojan.Win32.Generic!BT 20130323
ViRobot Trojan.Win32.S.Agent.310784.A 20130323
Exemple de SPAM :
Cet exploitkit est relativement courant, notamment il y a un topic sur le forum avec ce dernier : https://forum.malekal.com/virus-sur-site-internet-t42363.html
A noter que ce n'est pas la première fois qu'il y a un hack sur Uptobox : https://www.malekal.com/2012/11/28/en-uptobox-hacked/
J'ai eu une seconde fois l'exploitkit et c'est à chaque fois Uptobox qui fait un moved 302, donc ça semble être un hack sur le site.
La redirection est loin d'être systématique.
EDIT 2 Avril
Suite au billet, Uptobox m'a contacté en confirmant le Hack.
A ce jour, le problème est réglé.
