Uptobox hacked ? => spambot

J’ai eu une redirection vers un exploit kit depuis le site uptobox.
Difficile de dire si c’est un hack ou une malvertising.

Uptobox ~1,4k sur Alexa.com

Uptobox_hack11

La redirection est faite vers l’adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php

=> http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5

https://www.virustotal.com/fr/file/778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97/analysis/1364037630/

SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97
Nom du fichier : 2010735.exe
Ratio de détection : 1 / 46
Date d’analyse : 2013-03-23 11:20:30 UTC (il y a 0 minute)

Uptobox_hack Uptobox_hack2
Le malware créé une clef autorun pour lancer le fichier qpou.exe puis charge un fichier .tmp


 

Uptobox_hack3 Uptobox_hack4

Uptobox_hack5

Le malware est un spambot (je ne sais pas quelle famille) :

https://www.virustotal.com/fr/file/7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5/analysis/1364037660/

 

SHA256: 7a61bc64adbeb108001b745f71962fd18995354c30fc4d61f6a2b7c849ae91f5
Nom du fichier : lphnf4C63132C.tmp
Ratio de détection : 33 / 46
Date d’analyse : 2013-03-23 11:21:00 UTC (il y a 1 minute)

Agnitum Trojan.Lukan!7tdYJlag6ww 20130322
AhnLab-V3 Win-Trojan/Spammer.310784 20130323
AntiVir TR/Crypt.XPACK.Gen 20130323
BitDefender Trojan.Generic.KDV.852464 20130323
CAT-QuickHeal Trojan.Jorik.Lukan.n 20130323
ClamAV Win.Trojan.Agent-230795 20130323
Commtouch W32/Trojan.OMME-4024 20130322
Comodo UnclassifiedMalware 20130323
ESET-NOD32 Win32/SpamTool.Agent.NFL 20130323
F-Secure Trojan.Generic.KDV.852464 20130323
Fortinet W32/Jorik_Lukan.N!tr 20130323
GData Trojan.Generic.KDV.852464 20130323
Ikarus Trojan.Crypt 20130323
Jiangmin Trojan/Jorik.jnmi 20130323
K7AntiVirus Trojan 20130322
Kaspersky Trojan.Win32.Jorik.Lukan.n 20130323
McAfee RDN/Generic.dx!ks 20130323
McAfee-GW-Edition Heuristic.LooksLike.Win32.SuspiciousPE.C 20130323
MicroWorld-eScan Trojan.Generic.KDV.852464 20130323
Norman Troj_Generic.HBYJI 20130323
nProtect Trojan.Generic.KDV.852464 20130323
Panda Trj/OCJ.C 20130323
Sophos Mal/EncPk-CK 20130323
SUPERAntiSpyware Trojan.Agent/Gen-Cryptic 20130323
Symantec WS.Reputation.1 20130323
TheHacker Trojan/Spam.Agent.nfl 20130322
TrendMicro TROJ_JORIK.BH 20130323
TrendMicro-HouseCall TROJ_JORIK.BH 20130323
VBA32 Trojan.Jorik.Lukan.n 20130323
VIPRE Trojan.Win32.Generic!BT 20130323
ViRobot Trojan.Win32.S.Agent.310784.A 20130323


Uptobox_hack6

Exemple de SPAM :

Uptobox_hack7 Uptobox_hack8

 

Cet exploitkit est relativement courant, notamment il y a un topic sur le forum avec ce dernier : https://forum.malekal.com/virus-sur-site-internet-t42363.html

Uptobox_hack9

A noter que ce n’est pas la première fois qu’il y a un hack sur Uptobox : https://www.malekal.com/2012/11/28/en-uptobox-hacked/
J’ai eu une seconde fois l’exploitkit et c’est à chaque fois Uptobox qui fait un moved 302, donc ça semble être un hack sur le site.
La redirection est loin d’être systématique.

Uptobox_hack10

EDIT 2 Avril

Suite au billet, Uptobox m’a contacté en confirmant le Hack.
A ce jour, le problème est réglé.

image_pdfimage_print
(Visité 395 fois, 1 visites ce jour)

8 Comments

  1. Homerlulu 23 mars 2013
  2. Homerlulu 23 mars 2013
  3. Sammy 26 mars 2013
  4. Thom 26 mars 2013
  5. malekalmorte 27 mars 2013
  6. Barbatruc 28 mars 2013
  7. Taka 2 avril 2013
  8. malekalmorte 2 avril 2013

Add Comment