Overblog
Suivre ce blog Administration + Créer mon blog
10 mai 2011 2 10 /05 /mai /2011 00:22

To those who still believe that downloading a file from "common downloadZ websites", here is (another?) kindda sample of how dangerous it can be for your computer...

First, the video file displays the following message in the Windows Media Player (or in VLC, if it's your default mediaplayer):

MSG_WinMedia_100511-copie-1.jpg

 

But at the same time, it will launch your default web browser:

freaktorrents.info_100511.jpg

The text "you are going to play a High Quality Video" seems only to be there to tempt the user...

As you can see, the link at the bottom of the page points to: freaktorrents .info/unlock/downloadvlc.

 

In fact, it will drive the user to:

clockdownloadsoftware.com_VLC_100511.jpg

Please note that the website will automatically translate to your language (the one of your browser).

What about the VLC they offer in "free download"?

Not only it is an obsolete version according to the filename: 

http://preview.licenseacquisition.org/48/1056428137.51143/vlc-1.0.1-win32.exe

In fact, once the download has started, the last version of VLC arrives on the computer.

 

But there is another file behind the "download" blue button:

http://origin-ics. clickpotato.tv/IC/GPLCPLite47/16866/0/3a9517da-aa34-46a5-ba0b-72db30c78707/VLCSetup.exe

it is not the real VLC, it is most likely a downloader, which is pretty well detected by VirusTotal! 26 engines out of 42... But surprisingly, neither Panda Cloud nor Immunet Cloud did detect the sample! 

http://www.virustotal.com/file-scan/report.html?id=0c8a5c2a1d472d2b5f7ed0a8f8c63f38acc051416967dc48e43917d88ec96717-1304978623

I find it interesting that this URL seems to appear only once... Probably they record the IP address of the visitor. Typically a VX trick.

So, please keep in mind not to download media files from untrusted websites!

 

Let's talk a bit more about the vlcsetup.exe:

 

The funny point I think is that the file is digitally signed! (Pinball Corp, what a name...)

VLCsetup.exe_appliSign_100511.jpg

Even legitimate software are often not digitally signed... anyway, the dark side also uses tools to drive user confidence.

 

Once the file is being run, here is the network traffic it creates:

vlc-setup_trafic1JPG-copie-1.JPG

 

One request is somewhat interesting:

POST /generate/software/?SAIRND=233525&icbrandid=10&os=5.1&browser=IE.6.0&hdid=00-03-FF-4B-E1-AF&cc=FR&chid=197164&cid=1315344&con=n&ix=gplcplite&v.installername=VLCSetup.exe&v.method=software&v.s=65536&v.rascsi=n&realplayer.code=0&rpwcdesktop.code=0&rpchrome.code=0&rpgoogletb.code=0&clickpotato.code=0&SrS3x.code=0&SrS31.code=0&SrS2x.code=0 

 

We can see in it, most likely:

- the browser: "IE.6.0"

- the OS (XP): "5.1"

- the MAC address (00-03-FF-4B-E1-AF): 00-03-FF-4B-E1-AF

- the country or keyboard layout: Fr!

- the filename that has been downloaded: ""VLCSetup.exe". This could probably mean the guys have various malicious files reporting to the same server...

- then comes what looks like a software inventory: realplayer.code=0: no realplayer found installed? / rpwcdesktop.code=0: I don't know :( / rpchrome.code=0: no Chrome installed? / rpgoogletb.code=0: no Google Toolbar found? / clickpotato.code=0: no "clickpotato" installed.

 

Well, it appears they create a profile of the computers...

 

Let's move on the installation procedure. If you run the file vlcsetup.exe (which I advise you no to do!), the following window will appear, it is obviously quite different from the official/real VideoLan installer!

VLC_setup_start.JPG

The button "next" triggers far more than a simple software installation:

- Domain ics.clickpotato.tv

HTTP GET /Software/SrS2xParam01/434/ShprRprt.exe?rnd=2296111 

HTTP GET /Software/QuestScan/496/brand.exe?rnd=2323420 

HTTP GET /Software/ClickPotatoLiteClient01/492/ClickPotatoLiteInstaller.exe?rnd=2340385 

- domain upgrade.questscanone.com

HTTP GET /download/questscan/1_26/questscan-setup.exe 9446 1599.561490

HTTP GET /download/QuestScan/1_27/upgrade.cab?upg=path 

 

and last! HTTP GET /Software/VLC/466/vlc-1.1.9-win32.exe?rnd=2368105 

 

 

 

 

 

Partager cet article

Repost0
7 mai 2011 6 07 /05 /mai /2011 16:44

Here is the mail that currently spreads:

MSG_live_osama_060511-copie-1.PNG

The link provided does not work itlself.

But the real link does:

http://noticias. terra.woonet.co.kr/videos/paquistao/terrorismo/osama/05/05/2011/video-proibido-mostra-momento-da-execucao-de-obama-por-agentes-na-operacao.php?0.14094

 

PLease note the allusion to "Obama" et "execution", even if I'm not a linguist. There is probably a mistake, or a will to associate "Obama" and "execution" (that should be "Osama's execution"...).

IE9, working with SmartScren/Windows Defender does alert and blocks the download, that's good.

BTW, Clam In the Cloud and Panda Cloud do detect the sample as well.

Then, according to VT, 24 engines (reminder: command line versions) out of 41 do detect the malware:

http://www.virustotal.com/file-scan/report.html?id=e367ad6e9f26191e59dab7a9b681d05f40b23fee120ef1757def56c4a2b84f4b-1304723523

Murlo/Delf, well, nothing that new.

And to finish with, a sandbox:

http://www.threatexpert.com/report.aspx?md5=8bef97fcdd7a160b230749b824b9cb95

Just an oldfashion Rbot packed with Pklite32... and it mostly targets Brazilian websites/assets.

In a nutshell, do not open that email nor click on the link!

 

Partager cet article

Repost0
28 avril 2011 4 28 /04 /avril /2011 23:20

A force de lire un petit peu tout et n'importe quoi sur le sujet, je me suis dit que je devrais mettre à profit le retour d'expériences de quelques années de lutte antivirale (notamment désinfection en centre d'assistance).

 

Je vais donc proposer ici un mode opératoire assez générique, qui devrait suffire dans nombre de cas. Cependant, je ne dis pas que ce sera simple, ou très rapide, mais un minimum efficace ! A bon entendeur...

 

 

Etape 1 :

 Si vous avez déjà un anivirus installé, qu'il n'arrive pas à se mettre à jour, ou qu'il ne détecte rien, passez à l'étape 2.

Si, en plus, Windows Update ne fonctionne pas/plus, passez à l'étape 3.

Si votre PC est bloqué au démarrage, ou que la session Windows ne s'ouvre plus, passez à l'étape 3. 

 

Si l'état d'infection de la machine ne vous empêche pas d'installer un antivirus comme MS Security Essential pour Windows 7 (http://www.microsoft.com/fr-fr/download/details.aspx?id=5201), ou Kaspersky Free (https://www.kaspersky.fr/downloads/thank-you/free-antivirus-download) : choisissez-en un, installez-le, et tentez de le mettre à jour. Sous Windows 10, lancez un scan "hors ligne" avec Windows Defender Offline (https://support.microsoft.com/fr-fr/help/17466/windows-defender-offline-help-protect-my-pc).

 

Si la mise à jour réussit, lancez un balayage complet, désinfectez ce qui est détecté, et passez à l'étape 2.

 

Si l'installation ou la mise à jour ne marche pas, passez à l'étape 3.

 

 

Etape 2 :

Installez MalwareByte Antimalware (http://www.filehippo.com/fr/download_malwarebytes_anti_malware/ , pensez à désactiver l'essai de la version "premium", en fin d'installation), mettez-le à jour, puis lancez un balayage complet de la machine. Téléchargez le Safety Scanner (https://docs.microsoft.com/fr-fr/windows/security/threat-protection/intelligence/safety-scanner-download) et lancez un scan. 

 

Téléchargez DrWeb CureIt (http://www.freedrweb.com/cureit/?lng=fr), et lancez un scan complet du système.

Si toujours rien n'est détecté, passez à l'étape 3. Sinon, passez à l'étape 4.    

 

Etape 3 :

Téléchargez des CD qui permettent de scanner la machine sans que votre Windows soit en fonction : c'est le mode de désinfection le plus puissant !

Voici quelques exemples de ces CD que je vous recommande : le CD Windows Defender Offline, Kaspersky Rescue Disk, Avira AntiVir Rescue System, voire le ESET Rescue CD (ex de sites pour les liens de téléchargement : http://livecdlist.com/purpose/windows-antivirus). Si vous n'êtes pas totalement allergique à l'anglais, et que vous préférez travailler sur clé USB, je vous conseille le "tout intégré" SARDU (http://www.sarducd.it/).

 

Si vous avez déjà un live CD à base de noyau Win32 (type WinPE, ou BartCD), je vous recommande fortement de télécharger Sophos en version ligne de commande (SAV32CLI, http://www.sophos.com/fr-fr/support/knowledgebase/13251.aspx) et de lancer un scan complet.

 

 

Redémarrez votre machine et :

- tentez à nouveau d'installer un antivirus de votre choix. Si cela ne fonctionne pas, passez à l'étape 5. Réalisez l'étape 2 si ce n'est pas déjà fait, et passez à l'étape 4.

- si vous avez un antivirus installé et fonctionnel, vérifiez qu'il se met bien à jour et qu'il a bien scanné entièrement le PC récemment.

 

Si avez encore des doutes, tentez l'étape 5.

 

 

Etape 4 :

Prenez le CD d'installation de Windows, insérez-le dans le lecteur de CD/DVD, et ouvrez une ligne de commande pour y taper :

sfc / scannow.

Ceci va vérifier que les fichiers de Windows sont bien intègres (ils peuvent avoir été altérés à cause de votre infection virale).

 

Vérifiez que Windows Update fonctionne (forcez une vérification des mises à jour disponibles), et que votre antivirus est à jour (forcez sa mise à jour).

 

Le problème viral devrait maintenant être réglé !

 

 

Etape 5 :

 

     

Essayer des scan en ligne : ESET Online scanner (http://www.eset.com/fr/home/products/online-scanner/), ou Kaspersky Online Scanner (http://www.kaspersky.com/fr/virusscanner). Autre idée, essayer une solution antivirale "dans le nuage" avec des fonctions d'émulation/Analyse de code en dynamique avancées, ex Panda Cloud (http://www.cloudantivirus.com/en/#!/free-antivirus-download).

 

 

Si vous avez toujours un doute sur le fait que votre machine soit infectée, il reste la solution de l'anti-rootkit, sous Windows.  

Je vous recommande GMER, Sophos Anti-Rootkit, AVG AntiRootkit. NB  CureIT a aussi des fonctions avancées d'anti-rootkit.

 

Lancez des analyses du système et relevez les éléments trouvés. Attention, certains peuvent être parfaitement légitimes (comme des pilotes, ou des produits comme DaemonTools, etc)

Vérifiez chacun des fichiers signalés.

Au besoin, redémarrez la machine avec un CD, prélevez le fichier "suspect", et soumettez-le à VirusTotal ou VirScan (voire au bac à sable en ligne de PC Tools, si vous connaissez).

 

Vous devriez alors arriver à trier le bon grain de l'ivraie.

 

Une fois l'anti-rootkit de passé, vous pouvez utiliser les outils Sysinternals pour vérifier de A à Z le système Windows. Attention, cela n'est valable que si un anti-rootkit a été passé au préalable, puisque les produits Sysinternals lisent de façon exhaustive les API Microsoft, mais ces dernières peuvent être détournées par une fonction rootkit d'un code viral...

 

La toute dernière option sera donc la plus lourde et complexe : soit prend un dump (complet) de la mémoire de la machine, soit la démarrer en mode de débogage noyau. Puis avec un débogueur comme WinDBG, vous pourrez lister les processus et modules chargés (commandes !process 0 1, lmf, .dml_start, etc) pour comparer les résultats avec ce que vous voyez avec ProcessExplorer par exemple.    

 

 

Bonne chance / chasse !

Partager cet article

Repost0
24 février 2011 4 24 /02 /février /2011 00:26

Just to say that I received a few hours ago a spam, like in the ancient time :), but not in French this time.

 

Here is the link that appears within the body of the email:

http://g1.globo.com/sao-paulo/noticia/2011/02/video-em-que-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.html-0.79795

 

but in fact, here is the real link:

http://videos .katebowman.com.au/images/youtube/videos/abuso/22/2/2011/video-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.php?0.79795 

Caution! This one is  malicious!

 

Indeed it will automatically redirect the user to:

http://89. 149.226.195/css/video-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet-AVI.exe

 

About the "subject" of the link, that should be interesting for an user? it is about a police clerk, "naked", makes me remind the "sextape" of a few stars... here is a translation of it:

http://g1.globo.com/sao-paulo/noticia/2011/02/video-em-que-ex-escriva-de-policia-e-despida-em-delegacia-cai-na-internet.html

"Police" and "naked", probably two words that could invite a person to click on the link... 

 

What about the IP hosting the malware, while accessed through the browsers?

- Opera 11: no warning

- Safari 5.0.3: no warning

- Firefox 3.6.13: no warning 

- IE 9: no warning...!

 

Okay, that's not really a good start. Browsers embedded security could certainly be more efficient....

Let's see what VT says about the sample: 9 engines out of 43 do detect it... I've seen better detection.

BTW, Nod32 full version (and up to date) does detect it as a variant of Banload.PMI... but Clam In the Cloud does not detect anything, and that surprises me a lil bit.

 

The sample is being run on ThreatExpert sandbox. I just received the results, they look interesting!

http://www.threatexpert.com/report.aspx?md5=8d20e04ba3e66b85fc54860794332ed6

 

I'll talk about them more in details pretty soon. 

 

 

Partager cet article

Repost0
20 novembre 2010 6 20 /11 /novembre /2010 13:30

Hi all,

 

just to say: be very carefull with CamWin running on a Windows Server 2003 (well, yeah that can happen...).

You have not only to specify exclusions for the databases themselves, BUT also for the SQL Server binaries!

If not, the last updates (for instance last week) of Clam will put into quarantine almost any sqlservr.exe!

And the thing is, you may face problems to restore all the files at the right place... (taking into account that there may be different versions, and Clam does not always tell where the quarantined files come from...)

Partager cet article

Repost0
18 novembre 2010 4 18 /11 /novembre /2010 23:08

At the time AV vendors tend to complain about theiir difficulties to maintain a base of malicious software definition (20 millions in 2009, according to Kaspersky?), some people may remember old ideas of creating a "whitelist" of harmless / well known / trusted applications.

 

I would not start a troll by saying that the whitelist of electronically signed files, not being scanned by AV engines (that not being very well documented... anyway), could lead to problem worse than W32.Stuxnet...

 

However, AV vendors now actively work on whitelisting applications. Recently, for instance, Comodo Sofware got in contact with the Pidgin developers team, and asked them to whitelist their software (which was accepted), even providing FTP if needed.

 

They aim to alert each time an "unknown" software is to be run, so they whitelist "known" softwares.

 

Therefore, AV updates are not only getting more and more important to protect computers against malicious software, but to also avoid blocking harmless software (at least, a warning with context isolation untill the user validates or denies it...).

 

To be known fot the next future... 

 

 

Partager cet article

Repost0
5 novembre 2010 5 05 /11 /novembre /2010 00:17

Je n'ai pas honte de le dire, j'ai failli m'y faire prendre moi-même.

 

Voilà le courriel reçu (e 04/11), faussement émis par 123radar que je connais de nom :

courriel_123radar_VX_041110-copie-1.jpg

 

L'affichage dans Lanikaï est trompeur : le champ envelope-from est en fait : envelope-from <www@lary.aquaray.com>


 Le texte français est plutôt bien fait, mais une faute de génération du code (les balises) HTML casse toute la mise en page. Cela se produit à cette balise, en début de message :

<span<br> style=3D"font-weight: bold;">


 

Enfin, l'aspect viral montre son nez avec le lien bien visible dans le courriel :

Cliquer ICI

Pour Telecharger La Facture .


En fait, cela pointe sur : http://ryan8585. fileave.com/bill.exe

Et voilà le résultat VT pour ce fichier : 9/43 ! (version ligne de commande des AV).

Je peux par contre certifier que la version "complète" de Nod32, ainsi que Clam In The Cloud n'ont rien vu... Clam commence à détecter 12h plus tard (le lendemain matin de la réception du courriel)



Le courriel et son code viral ont contourné :

- les filtrages antispam de Orange

- les filtrages antispam de SpamAssassin

- les filtrages AV vus plus haut

- les filtrages sur URL de IE8, Chrome, FF 3

Pour finir, une analyse en "bac à sable" en ligne indique que ce bel échantillon a tout d'un BotNet :
Serveur de contrôle : 46.4 .245.19  (port 6667, un classique...)
Quelques commandes IRC intéressantes : BoTNeT.GoV...

Attendons de voir la réactivité des éditeurs d'antivirus !

Partager cet article

Repost0
19 septembre 2010 7 19 /09 /septembre /2010 14:27

Je vais rédiger cet article en Français, vu que le message et la cible sont francophones... :)

 

J'ai reçu un message, et j'avoue que moi le premier j'ai failli me faire prendre. Heureusement, je me suis souvenu que j'avais résilié il y a quelques mois déjà mon abonnement Orange (France Telecom). Il s'agit d'un message indiquant que ma soit-disant banque a refusé un prélèvement automatique pour France Telecom.

 

Le texte est plutôt bien fait, mais il manque les caractères spéciaux (surtout les accents) :

 

Bonjour,

Votre banque a refuse le prelevement de 27,90 euros pour votre Facture France telecom n BOXNPT-54009-648055 de ce mois ,et ne pouvant faire un prelevement automatique.Vous devez adherer au service d'authentification des operations carte sur Internet.

 

 

 

hameconnage_FranceTel_Shredder-19092010-copie-1.jpg

 

Mozilla Shredder bloque le "contenu distant" des messages. Il propose à l'utilisateur de toujours valider le téléchargement de ce contenu, selon l'adresse email indiquée en émetteur. Il s'agit ici de : 

service@Securecode.eu

Ce qui est certainement assez tentant pour un utilisateur lambda.

 

La vraie adresse d'expédition du courriel est pourtant : envelope-from <root@s15385563.onlinehome-server.info>

Donc là-dessus, Thunderbird (Shredder) induit l'utilisateur en erreur. Il ne prend pas le bon champ dans le courriel indésirable, et du coup, affiche une adresse "choisie" par les auteurs du message, pour induire les utilisateurs en erreur.

 

Au niveau du filtrage du courriel (qui aurait dû avoir lieu) :

- filtrage Orange : inefficient

- filtrage SpamAssassin : inefficient

- filtrage Razor, DCC, XBL : inefficient 

- filtrage par Thunderbird (Bayésien principalement) : inefficient.

 

Concernant la machine émettrice du message : s15385563.onlinehome-server.info   un joli message nous accueille quand on accède à la page.

s15385563.onlinehome-server.info_190810.jpg

 

Pour le FQDN de l'émetteur du message, voici ce que donnent quelques tests :

- Netcraft : à peine un peu de rouge dans la barre d'outil

- trustedsource.org : risque minimum, catégorie "internet services"

- senderbase.org : aucune alerte pour l'URL. Bonne réputation pour l'adresse IP ! (87.106.216.161)

- dnsbl.info : aucun listage de l'adresse IP

- robtex.com : la zone onlinehome-server.info a 2 signalements : postmaster.rfc-ignorant.org et abuse.rfc-ignorant.org

J'apprends grâce à Trustedsource que les serveurs de nom sont chez 1and1(donc le domaine malveillant aussi). Tiens donc, une vieille connaissance pour ceux qui épluchent le web pour ce qui est VX.

Grâce à domaincrawler.com, j'apprends (ou confirme) que l'adresse IP est allemande.

 

Dans le code source du message, il y a un lien vers une image : 

 http://hocusadabra.com/upload/userfiles/VerifiedMasterVisa.jpg 

C'est une "vraie" image de Mastercard SecureCode , toujours pour induire l'utilisateur en erreur.

VerifiedMasterVisa.jpg

 

Si l'on clique sur le lien inclus dans le courriel, voici la vraie URL qui s'affiche dans le navigateur :

http://cinedis. famfmalaga.org/tmp/login-vbv/logine745514566/

cinedis.famfmalaga.org_Authentification_190810.jpg

On notera les belles fautes de frappe : "Veuillez Remplire l'au dessous de la forme", qui pourraient peut être alerter un utilisateur soucieux de parler en bon français...

Au niveau des navigateurs :

- Opera : aucune alerte

- Internet Explorer 8 : aucune alerte

- Chrome : aucune alerte

- Firefox 64 (Namoroka) : aucune alerte

- Netcraft : aucune alerte

- Safari : aucune alerte

Donc en résumé... aucune alerte !

 

Ce que je trouve également intéressant, c'est le code source de cette page : entièrement obfusqué.

source_cinedis.famfmalaga.org_190910.jpg

D'autre part, en remplissant le formulaire et en cliquant sur "Valider", les sessions HTTP révèlent que la machine distante, plus que probablement compromise, tourne avec :

Server Apache/2.2.3 (CentOS)

X-Powered-By PHP/5.1.6

cinedis.famfmalaga.org_valid-form_19092010-copie-1.jpg

 

On appréciera la mention "service vérifié par Visa"..

Je parierais que les failles PHP (non corrigées dans cette vieille version) ont pu faciliter l'intrusion sur le serveur.

Partager cet article

Repost0
29 juillet 2010 4 29 /07 /juillet /2010 22:03

I had recently to deal with a compromised computer. It was though supposed to be protected by a up to date antivirus with real policies.

 

The file has been detected using Spybot S&D: ZBot. It's been a long time ago since I did not find a malware which is not a spyware/adware/rogue AV, with Spybot. Anyway...

The computer was also protected by Clam for Windows, the 'in the cloud' version of Clam AV. See: http://www.clamav.net/lang/en/about/win32/ But it did not detect anything however.

Since I like to contribute to OpenSource projects, I thought of submitting this sample that Clam was not supposed to detect. Then I was astonished to see that the online form to submit samples to Clam was complaining the sample was 'already detected' and that I should check my own Clam updates...!

Here is the screenshot:

clam_zbot_support_260710_ann.jpg

 

What's going on with Clam In The Cloud? is it less efficient than the regular ClamAV?  I still do not have any answer...

 

By the way, I was kindda disappointed to see at first that McAfee was not planning to publish an extrat.dat:

mcafee_webimmune_echantillon_Zbot_230710_ann.jpg

 

Fortunately, they did publish an extra.dat later on. Why did the WebImmune portal say 'inconclusive' and 'no Extra', so?

 

To finish about Clam, I'm gonna try to check if there are real differences between the regular ClamAV version and the 'Clam in the cloud, for Windows'.

First, let's see what VT says about the sample:

VT_sdra64.exe_010810.jpg

So, VT already scanned the sample on the 23rd... the day I submitted the sample to McAfee.

And the detections summary array confirms that Clam was supposed to detect the sample:

VT_sdra64.exe_glob_010810.jpg

 

Let me remind you that, as other people like T. Zoller said, VT uses command line versions of AV engines. I know quite well ClamAV, and yes, it is the command line version that is available by default on Linux!

Thus, ClamScan most probably detected the sample, but not the Clam 'in the cloud' version... wheras the 'in the cloud' technology was said to offer better protection in real time... (I even tried to move the sample on the HDD to see if Clam in the could would detect it, but nothing happened).

According to that example, I would say that the 'in the cloud' version may offer better protection in real time, but can also miss samples that the regular version of Clam would just detect...

Partager cet article

Repost0
7 juin 2010 1 07 /06 /juin /2010 15:51

Just after the Adobe and French CERTA advisories, I wanted to talk a lil bit about the website that is said to host the Adobe 0day.


Here is Adobe's advisory:

http://www.adobe.com/support/security/advisories/apsa10-01.html


According to Symantec (see: http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-060601-3020-99, the suscpicious website is:

google-analytics. dynalias.org.


It quite clearly seems to be a fake Google Analytics portal. Not sure that it does steal user's credentials anyway...


Please note that :

- Netcraft did not warn about it (at the time of writing)

- IronPort does not detect it

- Secure Computing (trustedsource.org) does not detect it

- Firefox 3.6 does not tell anything

- internet Explorer 8 neither

and a very few AV vendors are said to be able to detect the PDF...


Here is what the website looks like:


capture_googleAnalytics_dynalias_070610.jpg


The IP address 180.149.252.136 is apparently located in Hong Kong... see:

http://www.robtex.com/dns/google-analytics.dynalias.org.html

and blacklisted at least once!


So I strongly recommend to remain prudent with that domain.




Partager cet article

Repost0