Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
17 juillet 2013 3 17 /07 /juillet /2013 16:20

 

Un de mes collègues m'a remonté l'URL suivante, concernant une "alerte Flash Player pas à jour" :

 

http://watchnow.vehnix.com/?sov=255929006&hid=ckigcicqckgs&ctrl1=noiframe&id=aROS-verid60

 

Faux_FlashP_texte_170713.PNG

 

 Une autre URL menant au même endroit est la suivantehttp://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.com

 

Au niveau filtrage sur URL, c'est pas top :  https://www.virustotal.com/en/url/52f4f154396f9cc4a76950d4943007a02a50fe50579948712bd9da90a7f3ef94/analysis/1374070465/

 

Normalized URL: http://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.
Detection ratio: 0 / 39
Analysis date: 2013-07-17 14:14:25 UTC ( 1 minute ago

 

Et le système Web Inspector passe totalement à côté, malheureusement :

Faux_FlashP_webinspect_170713.PNG

 

 

En fait, le téléchargement à proprement parler se fait à partir de :  downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012

 

 

1 moteur (Fortinet) sur VT le détecte actuellement :  https://www.virustotal.com/en/url/3bf0bd076801d6464d08dc331a63d9249f87a51af3dc5b00e2a73fbaafdc895d/analysis/1374070751/

 

Normalized URL: http://downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012
Detection ratio: 1 / 39
Analysis date: 2013-07-17 14:19:11 UTC ( 1 minute ago )
Fortinet Malware site

Pour être encore plus précis, il faudrait ajouter à cela le moteur de Forefront TMG (car il le boque aussi).

 

 

 Puis, 7 moteurs AV sur 47 semblent détecter le fichier exécutablehttps://www.virustotal.com/en/file/d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9/analysis/1374070866/

SHA256: d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9
File name: setup.exe"; filename*=utf-8''Flash%20Player%2012.exe
Detection ratio: 7 / 47
Analysis date: 2013-07-17 14:21:06 UTC ( 4 minutes ago )

Agnitum 20130717
AhnLab-V3 20130717
AntiVir 20130717
Antiy-AVL 20130717
Avast Win32:Installer-L [PUP] 20130717
AVG 20130717
BitDefender 20130717
ByteHero 20130613
CAT-QuickHeal 20130717
ClamAV 20130717
Commtouch 20130717
Comodo Application.Win32.AirAdInstaller.A 20130717
DrWeb 20130717
Emsisoft 20130717
eSafe 20130714
ESET-NOD32 a variant of Win32/AirAdInstaller.A 20130717
F-Prot 20130717
F-Secure 20130717
Fortinet 20130717
GData 20130717
Ikarus not-a-virus:AdWare.Win32.AirAdInstaller 20130717
Jiangmin 20130717
K7AntiVirus 20130716
K7GW 20130716
Kaspersky 20130717
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130708
Malwarebytes 20130717
McAfee 20130717
McAfee-GW-Edition 20130717
Microsoft 20130717
MicroWorld-eScan 20130717
NANO-Antivirus 20130717
Norman 20130716
nProtect 20130717
Panda 20130717
PCTools 20130717
Rising 20130717
Sophos AirInstaller 20130717
SUPERAntiSpyware 20130717
Symantec 20130717
TheHacker 20130717
TotalDefense 20130717
TrendMicro 20130717
TrendMicro-HouseCall 20130717
VBA32 20130717
VIPRE AirInstaller (fs) 20130717
ViRobot 20130717

 

Certes, ClamAV est à rajouter dans cette liste, bien qu'il n'y apparaisse pas, car il le détecte en PUA.

 

Moralité, l'approche de défense en profondeur est encore une fois nécessaire ! Il ne va pas être simple à mon avis d'expliquer aux utilisateurs lambdas ici qu'il s'agit d'une vraie-fausse alerte, aux mêmes couleurs que la vraie...!  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Partager cet article

Repost0

commentaires