VideoAccessCodec et injection de bannières publicitaires

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

VideoAccessCodec et injection de bannières publicitaires

par Malekal_morte »

Les dernières variantes de VideoAccessCodec (VAC) se mettent à l'infection de bannières publicitaires.
Le principe est simple : remplacer les bannières de publicités des sites que vous consultez afin de rémunérer les auteurs du malware au lieu du webmaster du site WEB.

Voici quelques exemples de ce que cela peut donner....

Voici un site "top" (annuaire) qui liste quelques sites de la même thématiques (ici du warez).

Image

Avec les infections VAC, l'annuaire ne propose que des bannières casinos... en cliquant, dessus, vous rémunérez les auteurs du malware.

Image

En rafraichissant la page... hop une autre série de bannières publicitaires.
Image

Même chose avec ce site qui propose des sites WEB sur la thématique d'Emule..
Voici une capture du site d'origine.
Image

Avec VAC, toutes les bannières des sites WEB en question sont remplacées par des bannières casinos.
Image

on rafraichit... hop WebMediaplayer qui installe l'adware Navipromo
Image

Et vous allez voir que ça peut devenir dramatique pour bcp de personnes puisque sur ce site porno, tous les liens sont remplacés par une publicités pour Emule Official, la version d'Emule contenant l'adware Navipromo.

Image

Ici le site WEB Yahoo! proposant le programme Internet Gamebox contenant lui aussi l'adware l'adware Navipromo.

Image

Notez l'adresse de la bannière en bas à gauche de la capture ci-dessus : ad.media-servers.net


Voici un exemple de log avec les adresses des bannières...
On arrive chez yieldmanager.com (qui appartient à Yahoo!)
1210317580.466 176 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.471 179 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.653 179 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.659 177 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.679 170 192.168.1.50 TCP_MISS/200 4815 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.686 174 192.168.1.50 TCP_MISS/200 4815 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.822 152 192.168.1.50 TCP_MISS/200 4815 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.830 156 192.168.1.50 TCP_MISS/200 4814 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.990 189 192.168.1.50 TCP_MISS/200 2224 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317581.003 201 192.168.1.50 TCP_MISS/200 2223 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317582.197 2 192.168.1.50 TCP_MEM_HIT/200 5629 GET http://content.yieldmanager.edgesuite.n ... 14c7b9.gif - NONE/- image/gif
1210317582.315 804 192.168.1.50 TCP_MISS/200 2224 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317582.329 173 192.168.1.50 TCP_MISS/200 2224 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript

Voici un exemple de log avec les adresses des bannières...
On passe chez yieldmanager.com (qui appartient à Yahoo!, décidément encore eux) et edgesuite.net (qui appartient à Akamai)
210317617.321 211 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.385 179 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.392 186 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.400 188 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.528 166 192.168.1.50 TCP_MISS/200 2319 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317617.543 176 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.756 209 192.168.1.50 TCP_HIT/200 7281 GET http://content.yieldmanager.edgesuite.n ... 0eb497.gif - NONE/- image/gif
Ces bannières injectées sont sur adservertoo.com (77.91.228.183) et ad.media-servers.net (77.238.172.11)
Sur 77.91.228.183, on trouve le site http://www.safewebnavigate.com qui affiche de fausse alerte pour vous faire télécharge le rogue WinSpywareProtect

Quelle coincidence!!


Bref cela peut toucher n'importe quel site WEB que vous consultez. Ce n'est pas dangereux mais cela peut devenir génant à la longue (surtout avec les autres symptômes VAC, popups fausses alertes etc..).
Une bonne idée des auteurs du malware pour arrondir encore mieux leur fin de mois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »