Malekal's forum

de **Malekal_morte** » 02 Sep 2007 23:00

Prevx1 rapporte que le site Bittorent.com via sa régie de pub ferait des pubs pour le rogue DriveCleaner.
Cela se fait à travers de fausses alertes disant que l'ordinateur est infecté, afin de faire télécharger le rogue.

Source : http://www.prevx.com/blog/59/DriveClean ... lient.html

A ce jour, en France.. le site de la poste avait aussi fait l'objet via sa régie de pubs pour DriveCleaner : ftopic4412.php
Il semblerait que ce soit aussi le cas de la section sport du site d'orange.fr

Ceci montre bien que les régies de pubs marchent main dans la main avec les éditeurs de rogues pour de sombre histoires d'argents.
Dans le temps, ce genre de popups seront de plus en plus courantes.
Attention aussi aux Les Bannières/popups de publicités dangereuses sur la toile

Pour parer à cela, vous pouvez sécuriser votre navigateur WEB Firefox comme expliqué sur ce tutorial : Sécuriser Firefox

EDIT :
Une page interressante sur le blog de sandi qui se veut une réflexion sur le phénomène des bannières piégées dits "Malvertizements"
--> http://msmvps.com/blogs/spywaresucks/ar ... 67345.aspx

Le page est en anglais, donc voici la traduction via Google :
Traduction de la page via Google

de **Tazzi** » 03 Sep 2007 11:14

J'ai aussi eu la redirection pour DriveCleaner en effectuant une recherche sur le site orange.fr . Ca commence à faire beaucoup de sites qui ont des régies de pub incorrectes PDT_013

de **grimposaure** » 17 Sep 2007 11:55

Tazzi a écrit:J'ai aussi eu la redirection pour DriveCleaner en effectuant une recherche sur le site orange.fr . Ca commence à faire beaucoup de sites qui ont des régies de pub incorrectes

Pareil, d'ailleurs tu m'avais aidé à le résoudre.

de **Malekal_morte** » 13 Nov 2007 12:58

Malekal_morte a écrit:A ce jour, en France.. le site de la poste avait aussi fait l'objet via sa régie de pubs pour DriveCleaner : ftopic4412.php
Il semblerait que ce soit aussi le cas de la section sport du site d'orange.fr

On m'a envoyé un mail aujourd'hui.. ça ne semble pas s'arrange à la poste..

Bonjour,

On m'a proposé un rogue ce matin quand j'ai voulu consulté le site
laposte.net avec IE7.Le navigateur s'est fermé, message d'erreur votre
ordinateur est endommagé voici le lien :

hxxp://sansendommagement.com/depannage/ ... 2055f-0553
Je ne sais pas si ça a contaminé l'ordi ,l'antivirus n'a pas réagi,je
m'apprête à faire une analyse...
Amicalement,
Gildas

de **Malekal_morte** » 29 Nov 2007 00:13

Des bannières de pubs sont détournées via du flash, voir : http://sunbeltblog.blogspot.com/2007/11 ... works.html

Voir le résultat avec redirection scanner.malware-scan.com : viewtopic.php?f=12&t=5996

de **nicodu85** » 29 Nov 2007 09:47

pas bien ca

de **Malekal_morte** » 08 Déc 2007 17:33

Un peu de news concernant les détournements de pubs...
Un petit post sur MSVSPS.com : http://msmvps.com/blogs/spywaresucks/ar ... 86804.aspx

L'ip a l'origine des pubs frauduleuses est 190.15.73.254, les domaines associés sont :

Ad2cash.net Ad2profit.com Adcomatoz.com Adgurman.com Adhokuspokus.com Adnetserver.com Adredired.com Adsolutio.com Adtraff.com Adverdaemon.com Adverlounge.com Adzyclon.com Antivirussecuritypro.com Astalaprofit.com B2adz.com Bestadmedia.com Bestpharmacydeals.com Bestsearchnet.com Bestshopz.com Bestwnvmovies.com Bizadverts.com Bizmarketads.com Blessedads.com Brandmarketads.com Bucksinsoft.com Burnads.com Cancerno.com Cashloanprofit.com Casinoaceking.com Casinodealsgalore.com Cheap-auto-deals.com Co-search.com Cryptdrive.com Deuscleanerpay.com Easybestdeals.com Eroticabsolute.com Fantazybill.com Favouriteshop.com Fileprotector.com Forceup.com Freepcsecure.com Freetvnow.net Friedads.com Getfreecar.com Glorymarkets.com Great4mac.com Greyhathosting.com Hebooks-service.com Iddqdmarketing.com Infyte.com Installprovider.com Internetadaultfriend.com Internetanonymizer.com Intervarioclick.com Invulnerableads.com Keywordcpv.com Libresystm.com Luckyadcoin.com Luckyadsols.com Magicsearcher.com Manage-search.com Marketingdungeon.com Mediatornado.com Megashopcity.com Mightyfaq.com Misc-search.com Mobilesoftmarketing.com Moneycometrue.com Moneypalacecash.com Myfavouritesearch.com Myhealth-life.org Myonlinefinance.com Mysurvey4u.com Mythmarketing.com Mytravelgeek.com Netmediagroup.net Netturbopro.com Onestopshopz.com Opensols.com Pcsoftw.com Pcsupercharger.com Popadprovider.com Popsmedia.com Popupnukerpro.com Prenetsearch.com Prevedmarketing.com Prizesforyou.com R2d2adverising.com Rocktheads.com Roller-search.com Rombic-search.com Searchcolours.com Sellmoresoft.com Selvascreensaver.com Sharpadverts.com Shivanetworking.com Shopshot.com Softwcs.com Stratosearch.com Swiftcleaner.com Tallgrass-seach.com Traffalo.com Traveltray.com Uniqads.com Vitecmedia.com Waytotheprofit.com Windefender.com Wontu-search.com Workhomecenter.com Yourseeker.com Yourshopz.com Yourteacheronline.com Zappinads.com Zooworld-search.com

Tous ces domaines font de la publicités vers l'IP 87.117.252.11 (recensé début novembre ici : viewtopic.php?p=44428#p44428 ) auquel est associé une bonne liste de rogues de type WinAntivirus Pro.

On y retrouve ErreurChasseur, Sansendommagement dont beaucoup se plaignent actuellement..

de **Malekal_morte** » 13 Déc 2007 21:13

Un topic sur B.I.S.S. sur les publicités détournées via flash (fichiers SWF).

Recently many people got redirected to rogue products such as ErrorSafe, Malware-Scan, PerformanceOptimizer, Erreur Chasseur for French people as they are geo location based. I got myself hit by such advertisements in my Virtual Machine while surfing on legitimate and serious websites.

--> http://www.bluetack.co.uk/forums/index. ... opic=18064

de **Diamond** » 13 Déc 2007 22:01

Ils manquent d'originalité les noms des derniers rogues PDT_001

.
Ok ok je m'en vais lire l'article.

de **Malekal_morte** » 19 Jan 2008 17:48

Une video sur Bluetack qui montre comment se passe la redirection.
Cliquez sur la bannière verte "Camtasia" pour lancer la vidéo : http://www.bluetack.co.uk/forums/index. ... st&p=85439

de **Malekal_morte** » 04 Fév 2008 14:06

Il semblerait qu'il y est des cas de SWF malicieux (gnida.swf) qui ouvre des popups erreurchasseur chez yahoo.
Plusieurs cas :
http://fr.answers.yahoo.com/question/in ... 022AAOpMyE
http://fr.answers.yahoo.com/question/in ... 803AAJkvIo
http://forum.telecharger.com/telecharge ... ost5730552

Cela semble avoir commencé en décembre.

de **Malekal_morte** » 08 Fév 2008 10:08

Encore deux nouveaux sujets avec Yahoo! et gnida.swf :
http://fr.answers.yahoo.com/question/in ... 318AAbVtt1
http://fr.answers.yahoo.com/question/in ... 916AAKe2Eb

EDIT : encore un http://fr.answers.yahoo.com/question/in ... 346AAwOfWj

EDIT : autre cas : http://fr.answers.yahoo.com/question/in ... 041AALOK6e

EDIT : Je viens de lancer un appel pour les alertes Gida sur Yahoo! afin de localiser la bannière en question : viewtopic.php?f=46&t=9419

de **Malekal_morte** » 17 Fév 2008 17:40

Nouveau domaine malwarealarms.com : hxxp://scanner.malwarealarms.com/3/scan.php

de **coquelicot** » 03 Mar 2008 16:06

Moi aussi j'ai des pbs avec gnida en surfant sur ma boite mail yahoo; avast me les détecte et j'arrive à les supprimer. J'ai contacté yahoo en espérant que cela cesse, ça devient pénible.

de **dede le bainsois** » 16 Mar 2008 23:24

Pour ma part c'est sur le site de voyages sncf qu'est survenu le problème avec une pub détournée pour waytotheprofit .com
Je ne connaissais pas ce système... Merci de m'avoir éclairer.