Overblog
Suivre ce blog Administration + Créer mon blog
8 août 2011 1 08 /08 /août /2011 00:06

Je m'attendais à tout autre chose en lisant le sujet du courriel...
Subject: La photo de votre profil est belle
From: "Lacie Peterson" <news@affiliate-promoter.com>

 

Le corps du courriel est simple, sans faute, plutôt convaincant :

 courriel_profil-FB_060811.jpg

 

 

Une fois que l'on clique sur le lien, à priori pas de charge virale (presque décevant...) mais par contre, jolie surprise pour le site :

site_060811-copie-1.jpg

 

Effectivement, je dois bien avoir un profil qui traîne sur ce site (rires).

 

 

Pourquoi ai-je reçu ce courriel ? il semble que l'antispam se soit emmêlé les pinceaux :

 1.0 LR_URI_NUMERIC_ENDING URI: Ends in a number of at least 4 digits 1.5 HTML_IMAGE_ONLY_20 BODY: HTML: images with 1600-2000 bytes of words 0.1 HTML_MESSAGE BODY: HTML included in message -2.0 BAYES_00 BODY: Bayesian spam probability is 0 to 1% [score: 0.0000] 1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level above 50% [cf: 100] 0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) 1.0 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% 

 

Aïe, il semble que ce soit le Bayésien qui ai tout fait capoter... il a carrément viré dans le "confiance", et donc a appliqué le score en conséquence.  Par contre, Razor montre qu'il est toujours pertinent, et inflige un score de 3 à lui tout seul...

 

 

Enfin, le reste des entêtes semble révélateur :

 

Return-Path: <agent@ukrs238777.pur3.net>

Received: from smtp.server.com ([unix socket]) by hermes.reseau (Cyrus-Debian) with LMTPA;

Sat, 06 Aug 2011 18:26:45 +0200 X-Sieve: CMU Sieve 2.2

Received: from mta17311.pur3.net ([83.138.173.11]) by smtp.server.com with esmtp (Exim 4.69)(envelope-from <agent@ukrs238777.pur3.net>) id 1Qpjhy-0005fS-Nb for philippe.vialle@server.com;

Sat, 06 Aug 2011 18:26:45 +0200

Received: from localhost (127.0.0.1) by mta17310.pur3.net (PowerMTA(TM) v3.5r16) id h7llk40s4tkn for <philippe.vialle@server.com>;

Sat, 6 Aug 2011 17:26:05 +0100 (envelope-from <agent@ukrs238777.pur3.net>)

Subject: La photo de votre profil est belle

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="alternative_40dbada43dc5a2b347364ec8c576e434"

Content-Transfer-Encoding: 7bit

From: "Lacie Peterson" <news@affiliate-promoter.com>

Reply-To: "Lacie Peterson" <news@affiliate-promoter.com>

X-MailId: {~P91270321946634197420386293013~}

To: philippe.vialle@server.com

Date: Sat, 06 Aug 2011 17:26:05 +0100

Message-ID: <0.0.D8.50D.1CC54558A43966A.0@mta17310.pur3.net>


Tout de même, l'adresse IP du MTA est dans au moins 5 listes noires (cf. http://ip-blacklist.e-dns.org/83.138.173.11) :

LISTED 18ms 510 Software Group Blackholes
LISTED 20ms SORBS Aggregate zone (problems)
LISTED 20ms SORBS Spamhost (any time)
LISTED 20ms SORBS Spamhost (last 28 days)
LISTED 21ms SORBS Spamhost (last year)

 

 

Par contre, selon CISCO, la réputation sécurité de ce même serveur est "bonne" ! http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=83.138.173.11&action%3ASearch=Search

senderbase_IP_080811.jpg

 

De même chez McAfee : http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=83.138.173.11

 

mcAfee_IP_080811.jpg

Partager cet article

Repost0
3 août 2011 3 03 /08 /août /2011 01:49

While trying o get the official "uptime" tool from MS's website (http://support.microsoft.com/kb/232243) I had a surprise.


The file got detected by the automatic AV scan which is shipped with IE9 (ie: Windows Defender).

 

msg_IE9_uptime.exe_030811-copie-1.jpg

 

And the VirusTotal's results are even more surprising:

https://www.virustotal.com/file-scan/report.html?id=f81cb05b34a85daf038b59cabde25d772a37ceacb94109bd8fe6a1103bd65631-1312329203

 

Antivirus Version Last update Result
AhnLab-V3 2011.08.02.01 2011.08.02 -
AntiVir 7.11.12.198 2011.08.02 -
Antiy-AVL 2.0.3.7 2011.08.02 -
Avast 4.8.1351.0 2011.08.02 -
Avast5 5.0.677.0 2011.08.02 -
AVG 10.0.0.1190 2011.08.02 -
BitDefender 7.2 2011.08.03 -
CAT-QuickHeal 11.00 2011.08.02 -
ClamAV 0.97.0.0 2011.08.02 -
Commtouch 5.3.2.6 2011.08.03 -
Comodo 9606 2011.08.02 -
DrWeb 5.0.2.03300 2011.08.03 -
Emsisoft 5.1.0.8 2011.08.02 -
eSafe 7.0.17.0 2011.08.01 Win32.Banker
eTrust-Vet 36.1.8479 2011.08.02 -
F-Prot 4.6.2.117 2011.08.03 -
F-Secure 9.0.16440.0 2011.08.02 -
Fortinet 4.2.257.0 2011.08.02 -
GData 22 2011.08.03 -
Ikarus T3.1.1.104.0 2011.08.02 -
Jiangmin 13.0.900 2011.08.02 -
K7AntiVirus 9.109.4973 2011.08.02 -
Kaspersky 9.0.0.837 2011.08.02 -
McAfee 5.400.0.1158 2011.08.03 -
McAfee-GW-Edition 2010.1D 2011.08.02 -
Microsoft 1.7104 2011.08.02 -
NOD32 6345 2011.08.02 -
Norman 6.07.10 2011.08.02 -
nProtect 2011-08-02.01 2011.08.02 -
Panda 10.0.3.5 2011.08.02 -
PCTools 8.0.0.5 2011.08.03 -
Prevx 3.0 2011.08.03 -
Rising 23.69.01.03 2011.08.02 -
Sophos 4.67.0 2011.08.02 -
SUPERAntiSpyware 4.40.0.1006 2011.08.02 -
Symantec 20111.1.0.186 2011.08.03 -
TheHacker 6.7.0.1.267 2011.08.02 -
TrendMicro 9.200.0.1012 2011.08.02 -
TrendMicro-HouseCall 9.200.0.1012 2011.08.03 -
VBA32 3.12.16.4 2011.08.02 -
VIPRE 10045 2011.08.03 -
ViRobot 2011.8.2.4601 2011.08.02 -
VirusBuster 14.0.150.0 2011.08.02 -
MD5: 415eda8d64e4b487a78218212f5db282
SHA1: b565a5b717497950b2b96b8a1ef809f2509f754e
SHA256: f81cb05b34a85daf038b59cabde25d772a37ceacb94109bd8fe6a1103bd65631
File size: 45672 bytes
Scan date: 2011-08-02 23:53:23 (UTC)

 

This also means that VirusTotal's results are kindda not reliable when it's about MS Antivirus product. But Microsoft detecting a file on its own official server, that's not regular.


BTW, e-Safe is also very likely to be mistaking... And I'm still looking for the Win Defender's logs to understand a bit more what happened!

Partager cet article

Repost0
25 juillet 2011 1 25 /07 /juillet /2011 23:56

That trick was really about to get me...

 

msg_Facebook_250711_annon.jpg

 

The bot would realy make you believe it is your Facebook contact talking to you, but it is not...

I sent the URL to VirusTotal, here are the results: nothing to worry about...

URL Analysis tool Result
Avira Clean site
BitDefender Clean site
Dr.Web Clean site
G-Data Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Error
Phishtank Clean site
TrendMicro Unrated site
Websense ThreatSeeker Unrated site
Wepawet Unrated site
Normalized URL: http://213.231.133.56/830578583
URL MD5: 57e229513f552a0ba3775213d1d6b8c6

https://www.virustotal.com/url-scan/report.html?id=57e229513f552a0ba3775213d1d6b8c6-1311622558#

 

Even the "downloaded file" analysis does not show any alert:

Antivirus Version Last update Result
AhnLab-V3 2011.07.26.00 2011.07.25 -
AntiVir 7.11.12.103 2011.07.25 -
Antiy-AVL 2.0.3.7 2011.07.25 -
Avast 4.8.1351.0 2011.07.25 -
Avast5 5.0.677.0 2011.07.25 -
AVG 10.0.0.1190 2011.07.25 -
BitDefender 7.2 2011.07.25 -
CAT-QuickHeal 11.00 2011.07.25 -
ClamAV 0.97.0.0 2011.07.25 -
Commtouch 5.3.2.6 2011.07.25 -
Comodo 9510 2011.07.25 -
DrWeb 5.0.2.03300 2011.07.25 -
Emsisoft 5.1.0.8 2011.07.25 -
eSafe 7.0.17.0 2011.07.25 -
eTrust-Vet 36.1.8464 2011.07.25 -
F-Prot 4.6.2.117 2011.07.25 -
Fortinet 4.2.257.0 2011.07.25 -
GData 22 2011.07.25 -
Ikarus T3.1.1.104.0 2011.07.25 -
Jiangmin 13.0.900 2011.07.25 -
K7AntiVirus 9.108.4945 2011.07.25 -
Kaspersky 9.0.0.837 2011.07.25 -
McAfee 5.400.0.1158 2011.07.25 -
McAfee-GW-Edition 2010.1D 2011.07.25 -
Microsoft 1.7104 2011.07.25 -
NOD32 6324 2011.07.25 -
Norman 6.07.10 2011.07.25 -
nProtect 2011-07-25.02 2011.07.25 -
Panda 10.0.3.5 2011.07.25 -
PCTools 8.0.0.5 2011.07.25 -
Prevx 3.0 2011.07.25 -
Rising 23.68.00.05 2011.07.25 -
Sophos 4.67.0 2011.07.25 -
SUPERAntiSpyware 4.40.0.1006 2011.07.25 -
Symantec 20111.1.0.186 2011.07.25 -
TheHacker 6.7.0.1.262 2011.07.24 -
TrendMicro 9.200.0.1012 2011.07.25 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.25 -
VBA32 3.12.16.4 2011.07.25 -
VIPRE 9964 2011.07.25 -
ViRobot 2011.7.25.4587 2011.07.25 -
VirusBuster 14.0.138.0 2011.07.25 -
MD5: a6e4771c5a15705054b529d6d9a74c5b
SHA1: 8cfbec24fb7623f888b6d6f156d9a8284299d319
SHA256: c91712143eefa0f98daec77036d6a22a2c1633556bfdbe895392ed8b559ad00a
File size: 61988 bytes
Scan date: 2011-07-25 21:45:21 (UTC)

https://www.virustotal.com/file-scan/report.html?id=c91712143eefa0f98daec77036d6a22a2c1633556bfdbe895392ed8b559ad00a-1311630321

 

And the reason is quite simple... there is neither automatic file download, nor drive-by-download. Once again, the user will be lured to download himself the "latest Flash player version"...

site_youtube_flash_250711_annon.jpg

 

Pretty well done, uh? But this is not youtube...

What I find pretty outstanding, is the fact that the "fake youtube" website did grab the Facebook victims's username, and furthermore, fake comments from the victim's contacts are also being displayed below the (fake) video!

 

Please note that the URL is a single IP address, no domain name! According to Netcraft, the server is being hosted in Bulgaria: http://toolbar.netcraft.com/site_report?url=http://213.231.133.56 

So, in order to view the video, the user is supposed to click on the link. I serves a Flash-Player.exe file, hosted on the same HTTP server.

And this time, the AV scans do tell us something interesting:

Antivirus Version Last update Result
AhnLab-V3 2011.07.26.00 2011.07.25 Virus/Win32.AntiAV
AntiVir 7.11.12.103 2011.07.25 TR/AntiAV.oao
Antiy-AVL 2.0.3.7 2011.07.25 -
Avast 4.8.1351.0 2011.07.25 -
Avast5 5.0.677.0 2011.07.25 -
AVG 10.0.0.1190 2011.07.25 -
BitDefender 7.2 2011.07.25 -
CAT-QuickHeal 11.00 2011.07.25 -
ClamAV 0.97.0.0 2011.07.25 -
Commtouch 5.3.2.6 2011.07.25 -
Comodo 9510 2011.07.25 Heur.Suspicious
DrWeb 5.0.2.03300 2011.07.25 Trojan.Siggen2.58184
Emsisoft 5.1.0.8 2011.07.25 Trojan.Win32.AntiAV!IK
eSafe 7.0.17.0 2011.07.25 -
eTrust-Vet 36.1.8464 2011.07.25 -
F-Prot 4.6.2.117 2011.07.25 -
Fortinet 4.2.257.0 2011.07.25 -
GData 22 2011.07.25 -
Ikarus T3.1.1.104.0 2011.07.25 Trojan.Win32.AntiAV
Jiangmin 13.0.900 2011.07.25 -
K7AntiVirus 9.108.4945 2011.07.25 -
Kaspersky 9.0.0.837 2011.07.25 Trojan.Win32.AntiAV.oao
McAfee 5.400.0.1158 2011.07.25 Artemis!7A3BC4D258CB
McAfee-GW-Edition 2010.1D 2011.07.25 Artemis!7A3BC4D258CB
Microsoft 1.7104 2011.07.25 Backdoor:Win32/Delf.KV
NOD32 6324 2011.07.25 Win32/Delf.QCZ
Norman 6.07.10 2011.07.25 -
nProtect 2011-07-25.02 2011.07.25 -
Panda 10.0.3.5 2011.07.25 -
PCTools 8.0.0.5 2011.07.25 Net-Worm.SillyFDC!rem
Prevx 3.0 2011.07.25 -
Rising 23.68.00.05 2011.07.25 -
Sophos 4.67.0 2011.07.25 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.07.25 -
Symantec 20111.1.0.186 2011.07.25 W32.SillyFDC
TheHacker 6.7.0.1.262 2011.07.24 -
TrendMicro 9.200.0.1012 2011.07.25 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.25 -
VBA32 3.12.16.4 2011.07.25 -
VIPRE 9964 2011.07.25 FraudTool.Win32.SecurityTool (v)
ViRobot 2011.7.25.4587 2011.07.25 -
VirusBuster 14.0.138.0 2011.07.25 -
MD5: 7a3bc4d258cbe30dfb0649ee863fae25
SHA1: 9735e42aed649b87bca6455ddccf92cc563cb17b
SHA256: 7a9578ad75913564178f1e5c5be2fade4abb20835ff9ec82eb0716ce7a151c7d
File size: 1185280 bytes
Scan date: 2011-07-25 21:39:44 (UTC)

https://www.virustotal.com/file-scan/report.html?id=7a9578ad75913564178f1e5c5be2fade4abb20835ff9ec82eb0716ce7a151c7d-1311629984#

 

Unfortunately, the URL itself does not trigger so many security systems:

- Internet Explorer (with Trend Micro Browser Guard): no alert

- Firefox 5: no alert

- Chrome 12.0.742: no alert 

- Safari 5: no alert.

- Webreputation: "domain not reachable"... 

In fact, most of these results are summarized within the VT's "URL analysis tool" report.

 

While investigating the threat, I noticed they apparently use a stealth system: you can't request access to the domain several times, even using different browsers, of you're gonna be blocked.

This works over HTTP, while the ping (ICMP) still responds.

 

 

 

 

 

Partager cet article

Repost0
23 juillet 2011 6 23 /07 /juillet /2011 00:50

Here is a screenshot of the message spreading:

 

MSG_200711-copie-2.jpg

 

The real URL is being displayed in the status bar.

 

I personaly used DynDNS some time ago... anyway.

 

This malware did trigger an alert from:

- Kaspersky

- IE 9 Smart screen filter

 

But the thing is, Kaspersky was talking about an EXE packer/wrapper. That drew my attention.

 

So, here we are, let's have a look at the file:

 

protect-ID_malware_230711.jpg

 

So, yeah, the file is being protected by PKLite32 v1.1!

 

That's what KAV was saying, allright. But, to me, it is not because a file is being protected or obfuscated by a specific technology, that this file is a malware for sure...

 

More details to come, I'm investigating that in deep...

 

BTW, here are the full VT's results

(see https://www.virustotal.com/file-scan/report.html?id=48a93a6d8384c58d07285826a00ff3e8c553676903e59e1273316b32c4dc9af3-1311421202# ):

Antivirus Version Last update Result
AhnLab-V3 2011.07.23.00 2011.07.22 Packed/Win32.Morphine
AntiVir 7.11.12.64 2011.07.22 TR/Spy.Banker.253440.3
Antiy-AVL 2.0.3.7 2011.07.23 -
Avast 4.8.1351.0 2011.07.23 Win32:Rootkit-gen [Rtk]
Avast5 5.0.677.0 2011.07.23 Win32:Rootkit-gen [Rtk]
AVG 10.0.0.1190 2011.07.23 PSW.Banker6.AFP
BitDefender 7.2 2011.07.23 Trojan.Generic.6346484
CAT-QuickHeal 11.00 2011.07.23 -
ClamAV 0.97.0.0 2011.07.23 -
Commtouch 5.3.2.6 2011.07.23 W32/Infostealer.A!Maximus
Comodo 9476 2011.07.23 TrojWare.Win32.TrojanDownloader.Dadobra.~JN12
DrWeb 5.0.2.03300 2011.07.23 Trojan.DownLoader4.18737
Emsisoft 5.1.0.8 2011.07.23 Gen.Trojan.TaskDisabler!IK
eSafe 7.0.17.0 2011.07.21 -
eTrust-Vet 36.1.8459 2011.07.22 -
F-Prot 4.6.2.117 2011.07.22 W32/Infostealer.A!Maximus
F-Secure 9.0.16440.0 2011.07.23 Trojan.Generic.6346484
Fortinet 4.2.257.0 2011.07.23 -
GData 22 2011.07.23 Trojan.Generic.6346484
Ikarus T3.1.1.104.0 2011.07.23 Gen.Trojan.TaskDisabler
Jiangmin 13.0.900 2011.07.22 Trojan/Hosts2.bd
K7AntiVirus 9.108.4937 2011.07.22 Trojan
Kaspersky 9.0.0.837 2011.07.23 Trojan.Win32.Hosts2.gen
McAfee 5.400.0.1158 2011.07.23 Generic.dx!babe
McAfee-GW-Edition 2010.1D 2011.07.23 Generic.dx!babe
Microsoft 1.7104 2011.07.23 Trojan:Win32/Comrerop
NOD32 6317 2011.07.23 Win32/Qhost.Banker.JE
Norman 6.07.10 2011.07.22 W32/Suspicious_Gen2.NQJPD
nProtect 2011-07-23.01 2011.07.23 Generic.Banker.Delf.1F2FDCDB
Panda 10.0.3.5 2011.07.22 -
PCTools 8.0.0.5 2011.07.23 Spyware.Keylogger!rem
Prevx 3.0 2011.07.23 -
Rising 23.67.04.03 2011.07.22 -
Sophos 4.67.0 2011.07.23 Mal/Behav-180
SUPERAntiSpyware 4.40.0.1006 2011.07.23 -
Symantec 20111.1.0.186 2011.07.23 Spyware.Keylogger
TheHacker 6.7.0.1.260 2011.07.22 -
TrendMicro 9.200.0.1012 2011.07.23 TROJ_COMREROP.AA
TrendMicro-HouseCall 9.200.0.1012 2011.07.23 TROJ_COMREROP.AA
VBA32 3.12.16.4 2011.07.22 suspected of Unknown.Win32Virus
VIPRE 9939 2011.07.23 Trojan.Win32.Generic!BT
ViRobot 2011.7.23.4585 2011.07.23 -
VirusBuster 14.0.134.1 2011.07.22 -
MD5: bcd76d2daa826d9737e2d63025ed03fc
SHA1: 8925af7ea3dba240087049ee3a2017b734d98264
SHA256: 48a93a6d8384c58d07285826a00ff3e8c553676903e59e1273316b32c4dc9af3
File size: 253440 bytes
Scan date: 2011-07-23 11:40:02 (UTC)

 

As we can see, generic/heuristic/genotype signature technologies tend to prove their efficiency.

 

ThreatExpert does confirm Kaspersky detects PkLite32 compression: http://www.threatexpert.com/report.aspx?md5=bcd76d2daa826d9737e2d63025ed03fc

 

More to come...

Partager cet article

Repost0
12 juillet 2011 2 12 /07 /juillet /2011 01:15

 

 

Capture_MSG_outlook.JPG

 

En fait, le lien pointe sur:

http://199.16.130. 102/~vlallala/vbv2012/authentification/VerifierVisa/

 

NB : le lien ne semble plus marcher actuellement...

 

Bilan du filtrage par les navigateurs :

- Firefox 5: alerte "page contrefaite"

- IE9, avec module TrendMicro BrowserGuard: aucune alerte

- Safari 5 : aucune alerte

- Opéra 11.50 : aucune alerte

 

Pour les filtrages additionnels:

- WOT : site avec mauvaise réputation

- Netcraft : risque maximum (barre toute rouge)

- Senderbase.org : aucune alerte (http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=&action%3ASearch=Search)

 

Quelques captures :

url_FF5_alerte_110711.JPG

 

url_IE9_ok_110711.JPG

 

 

Concernant l'adresse IP hébergeant le hameçonnage :

http://whois.domaintools.com/199.16.130.102

C'est Canadien !

 

Et d'après Robtex, cette IP faite partie d'une infra mutualisée, avec déjà des signalements en liste noire :

http://www.robtex.com/ip/199.16.130.102.html#blacklists

Partager cet article

Repost0
1 juillet 2011 5 01 /07 /juillet /2011 23:07

Courriel reçu le 01/07/2011 03:48 :

 

Objet :

Video intimo de Deborah Secco com jogador Roger cai na internet! Assista com exclusividade o video que pode retirar a atriz da novela Insensato Coracao

 

Texte :

http://noticias.terra.com.br/mundo/noticias/0-OI5211810-EI8141-00-Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net.html-0.11290

 

 

En fait, le vrai lien est :

http://videos.urgentes.hrcfoundation .org/noticias/terra.com.br/videos/Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-html.php?0.11290

 

L'accès à ce lien provoque un téléchargement d'un fichier nommé : Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-AVI.exe

 

Voici ce que donne Kaspersky 2011 :

 

KAV20011_videos.urgentes.hrcfoundation.org_010711.jpg

 

Si l'on force l'accès à l'URL, avec IE9, alors c'est la vérification automatique du téléchargement par Windows Defender qui émet une alerte (cf. bas de l'écran de la capture).

 

Pour les autres navigateurs :

- Firefox 5 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Opéra 11.11 : alerte AVG (cf. ci-dessous)

 

- Netcraft : aucune alerte, mais ce n'est effectivement pas un site de hameçonnage...

- Web Of Trust : réputation "faible", mais pour autant, l'accès à l'URL a été possible. Donc protection inefficiente.

- Webreputation.net : score de 80/100, donc plutôt positif...

- Google SafeBrowsing : site "sûr" !

 

webreputation.net_010711.jpg

 

------------------------------------------------------------------------------------------------------------------------------------ 

A propos du site lui-même :

 

FF5_apache_WOT_010711.jpg

 

Avec un Apache 2.0.59, le composant ModDAV, et surtout un PHP 4.4.5, il n'y a peu de doute sur le fait qu'il était relativement aisé de compromettre ce serveur.

 

Niveau adresse IP, la situation est assez simple :

> videos.urgentes.hrcfoundation.org
Serveur :   resolver1.opendns.com
Address:  208.67.222.222

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  67.215.77.132

 

Pas de CDN ou de BotNet d'hébergement...

 

Pourtant, tout n'est pas aussi simple. La même résolution DNS chez SFR donne :

 

> videos.urgentes.hrcfoundation.org
Serveur :   UnKnown
Address:  192.168.1.254

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  210.125.88.6

 

Ceci est confirmé par l'analyse Robtex :

http://www.robtex.com/dns/videos.urgentes.hrcfoundation.org.html#summary

 

Si l'on accède au serveur webp ar son IP, le même message avec la version Apache/PHP apparaît :

http://210.125.88.6./noticias/terra.com.br/

 

Donc il y avait visiblement un problème de synchro DNS (OpenDNS ayant renvoyé une information erronée).

 

 

Cette IP :

- n'a pas "mauvaise réputation" chez CISCO Senderbase :

http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=210.125.88.6&action%3ASearch=Search

- n'est pas listée à malwareurl.com (tout comme le domaine)

- n'est pas listée à malwaredomains.com (tout comme le domaine)

 

Au niveau géographique, il semble que l'on soit en Korée :

http://whois.domaintools.com/210.125.88.6

 

 

----------------------------------------------------------------------------------------------------------------------

 

Côté antivirus, 24 moteurs (version ligne de commande) sur 42 détectent le fichier exécutable :

Antivirus Version Last update Result
AhnLab-V3 2011.07.02.00 2011.07.01 Downloader/Win32.Genome
AntiVir 7.11.10.197 2011.07.01 TR/Spy.284160.29
Antiy-AVL 2.0.3.7 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 Win32:Delf-PUI
Avast5 5.0.677.0 2011.07.01 Win32:Delf-PUI
AVG 10.0.0.1190 2011.07.01 Downloader.Banload.BLBR
BitDefender 7.2 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 0.97.0.0 2011.07.01 -
Commtouch 5.3.2.6 2011.07.01 -
Comodo 9244 2011.07.01 TrojWare.Win32.TrojanDownloader.Dadobra.~JN12
DrWeb 5.0.2.03300 2011.07.01 Trojan.DownLoader3.60177
eSafe 7.0.17.0 2011.06.29 -
eTrust-Vet 36.1.8421 2011.07.01 -
F-Prot 4.6.2.117 2011.07.01 -
F-Secure 9.0.16440.0 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
Fortinet 4.2.257.0 2011.07.01 -
GData 22 2011.07.01 Gen:Trojan.Heur.PT.rOqpb4njCjjG
Ikarus T3.1.1.104.0 2011.07.01 Trojan-Downloader.SuspectCRC
Jiangmin 13.0.900 2011.07.01 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 9.0.0.837 2011.07.01 Trojan-Downloader.Win32.Genome.ckxf
McAfee 5.400.0.1158 2011.07.01 Generic.bfr!cg
McAfee-GW-Edition 2010.1D 2011.07.01 Heuristic.BehavesLike.Win32.Obfuscated.B
Microsoft 1.7000 2011.07.01 TrojanDownloader:Win32/Banload.YT
NOD32 6258 2011.07.01 Win32/TrojanDownloader.Banload.QFU
Norman 6.07.10 2011.07.01 W32/Downloader.FRGW
nProtect 2011-07-01.01 2011.07.01 Trojan-Downloader/W32.Genome.284160.B
Panda 10.0.3.5 2011.07.01 Suspicious file
PCTools 8.0.0.5 2011.07.01 -
Prevx 3.0 2011.07.01 Medium Risk Malware Downloader
Rising 23.64.04.03 2011.07.01 -
Sophos 4.67.0 2011.07.01 Mal/Behav-180
SUPERAntiSpyware 4.40.0.1006 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 6.7.0.1.246 2011.07.01 -
TrendMicro 9.200.0.1012 2011.07.01 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.01 TROJ_BANLOAD.VTG
VBA32 3.12.16.4 2011.07.01 -
VIPRE 9743 2011.07.01 Trojan.Win32.Generic!BT
ViRobot 2011.7.1.4544 2011.07.01 Trojan.Win32.S.Downloader.284160.E
VirusBuster 14.0.105.2 2011.07.01 -
MD5: e84f3c2db8e8d88cad78dc9e18509d55
SHA1: f7c4189f039adb06bb0d89490db721d807d007f9
SHA256: e230a757a2dfbb1f1d081db96e323079b3aa9136b236347237443cdddbcdf71f
File size: 284160 bytes
Scan date: 2011-07-01 21:24:39 (UTC)

 

-----------------------------------------------------------------------------------------------------------------------------------

 

Concernant le fichier exécutable, l'analyse ThreatExpert confirme qu'il s'agit d'un BotNet avec un canal de contrôle :

http://www.threatexpert.com/report.aspx?md5=e84f3c2db8e8d88cad78dc9e18509d55

 

Le canal de contrôle serait donc : 218.201.202.76 , port 80

 

-----------------------------------------------------------------------------------------------------------------------------------

 

Concernant le canal de contrôle lui-même :

 

Nmap scan report for 218.201.202.76
Host is up (0.40s latency).
Not shown: 962 closed ports
PORT      STATE    SERVICE
7/tcp     open     echo
9/tcp     open     discard
13/tcp    open     daytime
19/tcp    open     chargen
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
25/tcp    filtered smtp
37/tcp    open     time
79/tcp    open     finger
80/tcp    open     http
111/tcp   open     rpcbind
512/tcp   open     exec
513/tcp   open     login
514/tcp   open     shell
515/tcp   open     printer
587/tcp   open     submission
898/tcp   open     sun-manageconsole
3306/tcp  open     mysql
5987/tcp  open     wbem-rmi
5988/tcp  open     wbem-http
6112/tcp  open     dtspc
7100/tcp  open     font-service
8080/tcp  open     http-proxy
8082/tcp  open     blackice-alerts
8083/tcp  open     us-srv
8084/tcp  open     unknown
8085/tcp  open     unknown
9010/tcp  open     sdr
9090/tcp  open     zeus-admin
9999/tcp  open     abyss
32771/tcp open     sometimes-rpc5
32772/tcp open     sometimes-rpc7
32773/tcp open     sometimes-rpc9
32774/tcp open     sometimes-rpc11
32775/tcp open     sometimes-rpc13
32776/tcp open     sometimes-rpc15
32785/tcp open     unknown
Device type: general purpose
Running: Sun Solaris 10
OS details: Sun Solaris 10
Network Distance: 27 hops

 

 

Le nombre de ports ouverts est assez impressionnant. Et d'autre part, un système d'exploitation Solaris 10 (donc assez récent) n'est relativement pas courant, comme "serveur" de BotNet.

La fonction "proxy", sur le port 8080, n'accepte visiblement pas la navigation de tout le monde.

Partager cet article

Repost0
23 juin 2011 4 23 /06 /juin /2011 15:13

Message reçu le 20 juin à 6h09 :

 

 

Vous avez reçu un nouveau message privé.
Cliquez ici pour lire votre message.

Ce message a été généré automatiquement

Crédit Agricole 2011

 

 

En fait, le lien pointe sur : http://www.seko-gyoseishoshi. net/.credit-agricole.fr/

 

Ce lien est toujours actif, plus de 72h après une des campagnes de diffusion du courriel contrefait.

 

Au niveau filtrage navigateur :

- IE 9 : aucune alerte

- Firefox 5 : aucune alerte

- Opéra 11.11 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Chromium 0.9.58.471 : aucune alerte.

Module Netcraft : aucune alerte.

 

 

Voici ce que donne la page contrefaite :

site_contrefait_C-Agri_230611.jpg

 

 

Pour mieux comprendre ce qu'il se passe, faisons un accès à la ressource "index", avec capture des requêtes HTTP :

 

RQ_http_seko-gyoseishoshi.net_230611.jpg

 

Comme on peut le voir, les requêtes HTTP basculent sur  https://www.paris-enligne.credit-agricole.fr

 

Mais, un "get aaa.html", sur le domaine parent (doncseko-gyoseishoshi.net) semble surprenant.

 

Le code source de la page index.html révèle la supercherie technique :

  <iframe src="aaa.html" name="pageIdent" width="195" height="235" frameborder="0" scrolling="no">Votre navigateur ne supporte pas les IFRAME ......</iframe>  

Injection de page, via balise iFrame.

 

Effectivement, le formulaire contrefait apparaît tout de suite :

formulaire_seko-gyoseishoshi.net_230611.jpg

 

Malheureusement pour les utilisateurs dupés, les données saisies dans le formulaire sont renvoyées par formulaire sur login.php, mais qui n'est pas hébergé chez Crédit Agricole :

 <form style="display:inline;" name="loginForm" method="POST" action="login.php" autocomplete="off" onsubmit="return checkData();">  

 

Un accès à la page index.php renvoie immédiatement sur : https://www.paris-enligne.credit-agricole.fr/g1/ssl/identification/nav1/acc_ide1_1.htm

C'est plus discret, effectivement.

 

----------------------------------------------------------------------------------------------------------------------------------------------

 

Par rapport au site compromis lui-même :

 

site-gyoseishoshi.net_230611.jpg

 

Il n'y a visiblement pas de réel gestionnnaire d'erreur. Du coup, il est facile de faire sortir la version du serveur HTTP...

 

Apache 2.0.51 sur Fedora, pas de doute, le site a quelques mises à jour de retard.

 

D'après ce site, le serveur serait en Fedora Core 4, par rapport à la version d'Apache correspondante :

http://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache

 

Par rapport à la ligne éditoriale de HTTPd, il semble qu'il y ait 13 versions ultérieures, corrigeant bogues et failles de sécurité, pour la branche 2.0 :

http://httpd.apache.org/security/vulnerabilities_20.html

 

En cherchant les paquetages Fedora pour HTTPd, il semble que la version 2.0 ("non recommandée" par Apache) ne soit plus proposée pour Fedora :  http://www.rpmfind.net/linux/rpm2html/search.php?query=httpd&submit=Search+...&system=fedora&arch=

 

Autant dire donc que ce site devait certainement avoir plusieurs failles de sécurité permettant de le compromettre et d'y poser le nécessaire au hameçonnage.

Enfin, hébergé au Japon, selon Netcraft, il sera certainement compliqué de demander réparation ou de leur imposer une correction rapide par voie officielle... les fameuses lois du sol.

 

 

------------------------------------------------------------------------------------------------------------------------------------------------

 

Suite à mes signalements, voici quelques retours :

 

Netcraft n'a pas validé le signalement... (23/06/11)

 

The URL you recently submitted could not be accepted as a phishing
site by the Netcraft Anti-Phishing Team, for the following reason:

This is not a phishing site.

URL:
http://www.seko-gyoseishoshi.net/.credit-agricole.fr/

The Netcraft Anti-Phishing Team

Partager cet article

Repost0
18 juin 2011 6 18 /06 /juin /2011 02:25

Echantillon reçu il y a quelques temps :

 

CE MESSAGE EST DE NOTRE ÉQUIPE DE SOUTIEN TECHNIQUE

Ce message est envoyé automatiquement par l'ordinateur.

Si vous recevez ce message, cela signifie que votre adresse e-mail a
été mis en attente pour la désactivation, ce qui a été à la suite d'une erreur continue
script (code: 505) a reçu depuis cette adresse email. Pour résoudre ce problème
vous devez réinitialiser votre adresse e-mail. Pour réinitialiser cette adresse e-mail,
vous devez répondre à cet e-mail en fournissant les informations suivantes pour
confirmation.

Nom d'utilisateur actuel Email: {             }
Mot de passe actuel Email: {             }
Re-confirmer Mot de passe: {             }

Note: Fournir une information erronée ou d'ignorer ce message permettra de résoudre
la neutralisation de cette adresse email.

Vous continuez à recevoir ce message d'avertissement périodiquement jusqu'à ce que votre
e-mail est réinitialisé ou désactivée.


Merci d'avoir choisi Orange Mobile!

© 2010 Orange Mobile. Tous droits réservés

 

 

Ce qui apparaît dans le client de messagerie (type Mozilla) :

- Adresse de réponse (reply-to) : webhelpdesk20@ymail.com

- Adresse indiquée en émetteur (champ données) : support@orange.fr

 

 

Entêtes :

 

 Received: from mwinf5c08 (mwinf5c08 [10.223.111.58]) by mwinb1501 with LMTPA; Mon, 21 Mar 2011 09:28:35 +0100 X-Sieve: CMU Sieve 2.3 Received: from box1.qn.net ([74.126.21.10])  by mwinf5c08 with ME id MkTq1g0140D3Ef601kTqJp; Mon, 21 Mar 2011 09:28:35 +0100 X-bcc: %%%%%%%@wanadoo.fr X-me-spamrating: 48.00 X-me-spamcause: (40)(0000)gggruggvucftvghtrhhoucdtuddrfeduhedrudeggddvuddthecuteggodetufdouefnucfrrhhofhhilhgvmecuoffgnecuuegrihhlohhuthemucegtddtnecuoghunhguihgtlhhoshgvugculdegtddmnecujfgurhepgggtgfffhffurhfkgigfsehtkehjtddtreejnecuhfhrohhmpefqrhgrnhhgvgcuofhosghilhgvuceoshhuphhpohhrthesohhrrghnghgvrdhfrheqnecuffhomhgrihhnpe X-me-spamlevel: not-spam Received: from localhost ([127.0.0.1] helo=webmail.qn.net) by box1.qn.net with esmtpa (Exim 4.69) (envelope-from <support@orange.fr>)  id 1Q1aSp-0008GF-El; Mon, 21 Mar 2011 04:27:47 -0400 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Date: Mon, 21 Mar 2011 04:27:47 -0400 From: Orange Mobile <support@orange.fr> To: undisclosed-recipients:; Subject: =?UTF-8?Q?D=C3=A9faut=20Mot=20de=20passe?= Reply-To: webhelpdesk20@ymail.com Message-ID: <76d7e32649f7d9a484407936dd4ffec3@qn.net> X-Sender: support@orange.fr User-Agent: Roundcube Webmail/0.4.2 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - box1.qn.net X-AntiAbuse: Original Domain - wanadoo.fr X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12] X-AntiAbuse: Sender Address Domain - orange.fr 

Le domaine émetteur n'est visiblement pas lié à Orange (qn.net). Si l'envelope-from a pu être forcé à support@orange.fr, c'est que visiblement le MTA émetteur est soit totalement ouvert (open relay) soit compromis...

   

Donc, il est recommandé de ne pas répondre à ce message !

Partager cet article

Repost0
9 juin 2011 4 09 /06 /juin /2011 13:41

I have been working on computers viruses for a few years... but when I say "computer virus/threats", I do not only talk about Wintel/x86 ones. Thus I also had to fight against the “well known” idea that MacOS has no virus, no threats. Even worse, 5 years ago, I have seen some Mac OS being the source of infection for Win32 platforms within a LAN... very easy to deal with (what? no antivirus on the shared resources?)

 
Right now, this fight to open customers' eyes, and business guys' eyes, still goes on. As an example, a bit of Google search for the words "macos no virus" brings me to:
http://switchtoamac.com/site/why-are-there-no-viruses-for-mac-os-x.html

and even: http://www.apple.com/macosx/what-is/
Quotation: OS X doesn’t get PC viruses. And with virtually no effort on your part, the operating system protects itself from other malicious applications

 

 

But there are some new public stuff, which I find interesting:
http://www.theinquirer.net/inquirer/news/2029303/virus-mac-invulnerable

 and the now (in)famous MacDefender:
http://www.pcworld.com/article/226846/fake_macdefender_brings_malware_to_macs.html

 

I think it is just outstanding to see Apple developping and releasing what I believe to be an equivalent of the MSRT (Microsft Malicious Software Removal Tool)! See:
http://support.apple.com/kb/HT4651

Regarding an OS which is said not to be concerned by virii, they now update on a daily basis a "fire-and-forget" tool to clean malwares from MacOS computers! That's a victory for Security, to me.

(well, now... I have to put that in application to the IT parks I have got in my security perimeter... that’s another story.)
 

Nonetheless, as we already know that phenomenon in "MS Windows" environments, the VX scene is also able to update the malware, within hours...
http://www.zdnet.com/blog/bott/new-apple-antivirus-signatures-bypassed-within-hours-by-malware-authors-update/3396

As a feedback, Apple could probably take into account the fact that most AV softwares on Windows now automatically update themselves on a hourly basis, by default... this came a few years ago already.
 

Sadly, Apple first refused to give support to the customers calling for help, despite the rise of calls to the support:
http://www.wired.com/gadgetlab/2011/05/apple-malware/

It seems that they changed their mind afterwards, and kindda admit the “malware” on MacOS do exist and above all, could not be just handled by lambda users…

Last, in case of, here are guidelines to remove MacDefender:
http://www.bleepingcomputer.com/virus-removal/remove-mac-defender

And let me remind that Sophos offers a free AV for MacOS (home use).

 
I hope this will prevent IT systems, secured regarding Windows/Linux, to be compromised through Mac OS environements, that did not need security…

Partager cet article

Repost0
23 mai 2011 1 23 /05 /mai /2011 00:32

I was just looking for Google images of an american actor of a serie. Then my browser was trapped, as one of the Google Image results lead it to:

http://www.google.fr/imgres?imgurl=http://www.celebritylatest.com/wp-content/uploads/premieres/marg_helgenberger_mr_brooks_premiere_3.jpg&imgrefurl=http://www.mainstream.fr/img/-%%%%%-dating.html&usg=__grAZHQrnfxcFdhmvNprdLlOKD70=&h=808&w=1000&sz=70&hl=fr&start=17&sig2=jTOL3-NJ0X06PCeKxHJQ0Q&zoom=1&tbnid=SBAcGCvMS_01OM:&tbnh=120&tbnw=149&ei=KJXZTYXXMoub-gbgwuHGAQ&prev=/search%3Fq%3D

and celebritylatest.com has most likely been hacked. Therefore, my browser went to: http://bervert. osa.pl/2.php 

 

I came to that link:

http://www1.smartyauscanner .co.cc/6zf9gss?jtkay6=jt3j2t6hsNrF1uzyw5vozMWroZeqkOTUxbZpmc7D1Oa2sci6ic3hq5aioZra1Lat6aSH1N3dntfSpsng3dLXkO3lxdxz3dPQ6Nfih9jWoKfAlM7ip6ydj6tpqpuSqaenkq2Z1tXP4trlp6WR2OKasKWYpZrt1eGwl5Keo5mjnKXQl7Jc5%2BCeo6epl6ajlpOjpovW2eHMyudz6uTYpaLswuvYxcna0srYz%2BLexqeipeWP1%2BmfyeTbyp7n1c7T2Zrdxt9z2%2BHV4pmsopqlqYagtMfX3OrQ0%2B1k4uDCoOTlhqe5lY%2Fe1tWW

There is first a nice warning, telling me my computer was at risk of being infected by a malware...

 MSG_malware_smartyauscanner_230511.JPG

Then, whatever I do, my browser will be send to this webpage:

AV-scan_malware_smartyauscanner_230511.JPG

 

There is also another URL that does the same:

http://www1.powervorsoft .co.cc/j48zmy?1rdgeik=Vd%2FN1KLSzNjS3Ivn39OvpqGemqHbyKSYj8zS0emiwsm2mN%2Fio6VhqIrW2Kbi5qadx9varNTSss7moN%2FJjdDY2NvhtMfs69Tq2t%2BM15SvqrmL0tutp6mTpKmmoKSmmaJiqora2crf5eK0i%2Bnf06%2BrppmapebQpJmam6WjqJej26WrmePZsWKllJ2WmZ%2Bioq6L1uXc09zdo%2Buo6ZeV2Mrh1dHf0dbb1dfh4suinaTclcrekejg28rTs%2BLl3NjJ3KKY1szLptPk4%2BeKpbeUpLmUmLqT19bdytvfnt7qxqDm25eltZiiodrUiw%3D%3D

 

Now, obviously, if I click on the "remove all" button (which I do NOT recommend you to do), an exefile shows up as a download... how interesting!

 

Here is the real URL of the website hosting the file:

http://www2.save-mastermme .byinter.net/qjsh106_328.php?kan9=j87XprDK182Q0ofo3cmvoJ%2BdkdHXnbCUnMaPz9OwxLi5k9nYqJKeb5nQ6aKk45iZ1s7Wqs%2FErsngqODGnNCc2szlscfs4tLd0tGUnNaevLdT1tGwrJegn6CcmZKlbKGSroug4cLn6divk%2BTOz56mcKaH6tmZqpWkpJqmnp%2BW0JenX%2BfUs5ZgnZekpJmkoKSLz9DbmtzPs9yk5JSh58bo0s%2FN18XTn9jP6cpb2ZProsrnk%2BXWz8bPdubU386Q1dKZ5srYqtXZ39GTbLSGqKtSn6fV2dfo0t%2FZmdDhmqHR4opfs5Oh5M3ik%2BDazaTbnbDU29ORs8rf2Yk%3D

 

What does VT says for this sample, well... only 10 out of 43 engines do detect it :(  and Kaspersky Security Network did not help.

http://www.virustotal.com/file-scan/report.html?id=e8f307051d84cfc90e5d7a7973a5b9a503136771bee9137325719b840ad28ee0-1306104047

Antivirus Version Last update Result
AhnLab-V3 2011.05.23.00 2011.05.22 -
AntiVir 7.11.8.93 2011.05.22 TR/Dropper.Gen2
Antiy-AVL 2.0.3.7 2011.05.22 -
Avast 4.8.1351.0 2011.05.22 Win32:Delf-PIK
Avast5 5.0.677.0 2011.05.22 Win32:Delf-PIK
AVG 10.0.0.1190 2011.05.22 -
BitDefender 7.2 2011.05.22 -
CAT-QuickHeal 11.00 2011.05.22 -
ClamAV 0.97.0.0 2011.05.22 -
Commtouch 5.3.2.6 2011.05.22 -
Comodo 8797 2011.05.22 -
DrWeb 5.0.2.03300 2011.05.23 -
Emsisoft 5.1.0.5 2011.05.22 Trojan-Dropper.Gen2!IK
eSafe 7.0.17.0 2011.05.22 -
eTrust-Vet 36.1.8339 2011.05.20 -
F-Prot 4.6.2.117 2011.05.22 -
F-Secure 9.0.16440.0 2011.05.22 Rogue:W32/FakeAv.BI
Fortinet 4.2.257.0 2011.05.22 W32/Injector.fam!tr
GData 22 2011.05.23 Win32:Delf-PIK
Ikarus T3.1.1.104.0 2011.05.22 Trojan-Dropper.Gen2
Jiangmin 13.0.900 2011.05.22 -
K7AntiVirus 9.103.4693 2011.05.20 -
Kaspersky 9.0.0.837 2011.05.22 -
McAfee 5.400.0.1158 2011.05.23 -
McAfee-GW-Edition 2010.1D 2011.05.22 -
Microsoft 1.6903 2011.05.22 -
NOD32 6142 2011.05.22 Win32/TrojanDownloader.FakeAlert.BHH
Norman 6.07.07 2011.05.22 -
nProtect 2011-05-22.01 2011.05.22 -
Panda 10.0.3.5 2011.05.22 Suspicious file
PCTools 7.0.3.5 2011.05.19 -
Prevx 3.0 2011.05.23 -
Rising 23.58.06.03 2011.05.22 -
Sophos 4.65.0 2011.05.22 -
SUPERAntiSpyware 4.40.0.1006 2011.05.23 -
Symantec 20111.1.0.186 2011.05.23 -
TheHacker 6.7.0.1.202 2011.05.20 -
TrendMicro 9.200.0.1012 2011.05.22 -
TrendMicro-HouseCall 9.200.0.1012 2011.05.23 -
VBA32 3.12.16.0 2011.05.20 -
VIPRE 9359 2011.05.22 -
ViRobot 2011.5.21.4472 2011.05.22 -
VirusBuster 13.6.367.0 2011.05.22 -
MD5: 6075aad44942356f46c5f33be00f7726
SHA1: 905329745352f85fd20901491ea9aacdacc790d0
SHA256: e8f307051d84cfc90e5d7a7973a5b9a503136771bee9137325719b840ad28ee0
File size: 302080 bytes
Scan date: 2011-05-22 22:40:47 (UTC)

 

More to come (my cat reminds me time's up :) )

 

 

Update 1 (24 hours later):

Chromium does alert while trying to access the URL:

chromium_alert_url_240511.JPG

 

Update 2 (48 hours later):

Only 2 URL scanners do detect the URL, according to VT:

http://www.virustotal.com/url-scan/report.html?id=8a27b11a8ec194015b0bd305ca94b5b9-1306353987

URL Analysis tool Result
Avira Clean site
BitDefender Malware site
Dr.Web Error
Firefox Clean site
G-Data Malware site
Google Safebrowsing Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Error
Phishtank Clean site
TrendMicro Clean site
Websense ThreatSeeker Clean site
Wepawet Unrated site
Normalized URL: http://www1.smartyauscanner.co. cc/6zf9gss?jtkay6=jt3j2t6hsNrF1uzyw5vozMWroZeqkOTUxbZpmc7D1Oa2sci6ic3hq5aioZra1Lat6aSH1N3dntfSps
URL MD5: 8a27b11a8ec194015b0bd305ca94b5b9

 

And while browsing my disk drive, Kaspersky antivirus did pop up a warning regardng the file that had been downloaded after the "fake antivirus scan":

KAV_detect_260511.jpg

 

KAV did not alert by itself, I had to access the folder where the file formerly undetected is.

This proves again it is strongly recommended to let the antivirus software do a full system scan, on a regular basis (at least, very week, or more often if you have any doubt).

 

 

Partager cet article

Repost0