ALERTE : Campagne de Spam de type Zepto (05 septembre 2016)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Campagne de Spam de type Zepto (05 septembre 2016)

Messagede pierre » 06 Sep 2016, 19:13

ALERTE : Campagne de Spams déployant le cryptoware Zepto (05 septembre 2016)

Version initiale de l'alerte
05 septembre 2016

1 - Risque(s)
Installation d'un logiciel malveillant de type Cryptoware nommé Zepto.

Un cryptoware exécute une attaque irréversible en chiffrant (cryptant) toutes les données de l'utilisateur victime, sur tous les supports connectés, y compris les dossiers (répertoires) partagés par/avec le compte utilisateur compromis se trouvant sur les autres machines d'un réseau local (il n'existe aucune solution de récupération des données - il faut payer immédiatement une rançon ou tout perdre définitivement).

2 - Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

3 - Résumé
Depuis le début septembre 2016, il est constaté à l'échelle nationale une vague de pourriels (e-Mails d'attaque) dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du Ransomware et Cryptoware Zepto.

Un Ransomware et Cryptoware est un logiciel malveillant qui chiffre (crypte) toutes les données du poste compromis. Il va également cibler les partages de fichiers accessibles sur d'autres ordinateurs (réseau local) depuis le compte utilisateur dont la session est compromise.

Le Ransomware et Cryptoware Zepto est exécuté par une action de l'utilisateur (ouverture d'un e-Mail, ouverture d'une pièce jointe). La victime est ensuite invitée à payer une rançon (à verser de l'argent) afin que l'attaquant communique à la victime la clé de déchiffrement des données cryptées.

Ne pas brancher un disque contenant la sauvegarde des données, elles seraient immédiatement cryptées, elles aussi.

Dans le cadre de cette campagne, et d'après les échantillons observés, la diffusion de Zepto s'effectue par l'intermédiaire d'un pourriel contenant une archive (un fichier contenant plusieurs fichiers compressés). Cette archive contient un script Windows (extension .wsf) exécutant un script en JavaScript. Le Javavascript va ensuite contacter un domaine pour récupérer le Cryptoware de nom Zepto.

À l'aide les échantillons remontés, les URLs connues actuellement de téléchargement du binaire Zepto (la Charge utile) sont les suivantes :

maxshoppppsr.biz_BAD_/js/vf3gt4b4
news.oboyle.ro_BAD_/myeyuum
http://www.termoalbiate.com_BAD_/uwmakrm

Serveurs de C&C - Command and Control au 05/09/2016 :
Selon nos analyses, les domaines sont générés aléatoirement. Aucun domaine pertinent n'est pour l'instant disponible.

L'uri suivante semble stable. Elle peut servir de marqueur lors d'une investigation mais ne doit pas être mise en liste noire au risque de générer beaucoup de faux positifs.

/data/info.php

4 - Contournement Provisoire
Mesures préventives

Sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur de messagerie (client de messagerie), Navigateur Web et Greffons (informatique)) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

Avec un client de messagerie local (Outlook, Thunderbird, IncrediMail, etc. ...), lorsque l'utilisateur se promène dans la liste des messages, le volet de visualisation doit être totalement fermé (par réduit mais totalement fermé) sinon, le simple fait de passer sur un titre (sujet) d'un e-Mail provoque son ouverture automatique et le déclenchement de l'attaque.

Configurer, sur les postes de travail, les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
OSDRIVE\Users\*\AppData\
OSDRIVE\Windows\Temp\

Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
UserProfile\AppData
SystemRoot\Temp

Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

Mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe (c'est le virus lui-même qui mute chaque fois qu'il se réplique (ce qui est complexe à écrire et brillant, en termes de développement informatique pur). Des bases de signatures exhaustives sont impossibles.), les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.

Voir tous les moyens de soumissions (formulaires en lignes, adresses e-Mail, mécanisme intra antivirus...) de tous les éditeurs d'antivirus.
Soumettre (échantillon, Faux positifs, URLs) aux antivirus

Effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) et vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Mesures réactives

Si le code malveillant est découvert sur vos systèmes, déconnecter immédiatement du réseau les machines identifiées comme compromises. Le chiffrement est extrêmement rapide (le cybercriminel fait un compromis entre chiffrement dur et vitesse de chiffrement, ce qui donne, parfois, la possibilité de créer un décrypteur si le chiffrement est "léger".

L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Alerter le responsable sécurité ou le service informatique au plus tôt.

Le temps de revenir à une situation normale, positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages.

Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage.

Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Bloquer, sur le serveur mandataire, l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission depuis le même site. En complément, rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs.

Procédez à la réinstallation complète du poste compromis et repartez d'une sauvegarde réputée saine des données de l'utilisateur. Dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif

5 - Documentation
http://www.sophosfranceblog.fr/ransomwa ... eau-locky/

Un outil de possible vaccination contre les Cryptoware CTB-Locker, Locky et TeslaCrypt.
https://labs.bitdefender.com/2016/03/co ... -released/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27291
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de Spam de type Zepto/Odin (05.09.16)

Messagede pierre » 22 Oct 2016, 19:59

Mise à jour

Le ransomware mute (il change d'extension pour les fichiers cryptés) et est appelé odin

Vague de mails contenant des pièces jointes malveillantes en cours. Ces pièces jointes sont des documents office contenant une macro VBA téléchargeant le rançongiciel Zepto. L'extension utilisée par le rançongiciel a changée depuis la dernière vague pour devenir .odin. La liste des urls de téléchargement de la charge active est mise à jour.

Depuis le début septembre 2016, à l'échelle nationale, une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible, atteint les utilisateurs. Ces pourriels ont pour objectif la diffusion du rançongiciel Zepto.

Qu'est-ce qu'un rançongiciel : (Cryptoware)

Zepto va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Zepto est exécuté par une action de l'utilisateur (ouverture, dans un email, d'une pièce jointe au format Word).

La victime est ensuite invitée à verser une rançon, de l'argent, afin de recouvrer l'usage de ses fichiers qui, sinon, sont cryptés, inutilisable et impossible à décrypter. L'attaquant donne alors à l'utilisateur compromis une clé de déchiffrement des fichiers cryptés.

Dans le cadre de cette campagne, et d'après les échantillons observés par le CERT-FR, la diffusion de Zepto s'effectue par l'intermédiaire d'un pourriel contenant une archive. Cette archive contient un script Windows (extension .wsf) exécutant du Javascript. Le Javascript va ensuite contacter un serveur d'un domaine pour récupérer la Charge active : le Rançongiciel Zepto.

À l'aide des échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Zepto sont les suivantes :

Téléchargement de la Charge active au 12/10/2016
URI observée :
/d5436gh

Domaines observés :
eaglemouth.org_BAD_
dabihfluky.com_BAD_

Téléchargement de la Charge active au 03/10/2016
URIs observées :
\jhg45s

Domaines observés :
acaciainvest.ro_BAD_
alraysa.com_BAD_
anthonycarducci.lawyerpublicity.com_BAD_
antiquescollectablesandjuststuff.com_BAD_
atronis.com_BAD_
bluewaterappco.com_BAD_
boservice.info_BAD_
catlong.com_BAD_
cedrussauna.com_BAD_
craftsreviews.com_BAD_
crossroadspd.com_BAD_
denvertracy.com_BAD_
dickenshandchimes.com_BAD_
dotcom-enterprises.com_BAD_
eidshow.com_BAD_
far-infraredsaunas.com_BAD_
foe-2.com_BAD_
gcandcbuilderssite.aaomg.com_BAD_
golfnauvoo.com_BAD_
hostmyimage.biz_BAD_
icdsarch.com_BAD_
ifsaiumumi.com_BAD_
inmopromo.com_BAD_
lesscellantshautegamme.ca_BAD_
maxleather.aaomg.com_BAD_
mmm2.aaomg.com_BAD_
monkeysdragon.net_BAD_
msurf.net_BAD_
new2.aaomg.com_BAD_
nonprofitbenefit.com_BAD_
nutrahacks.com_BAD_
orhangazitur.com_BAD_
parkerneem.com_BAD_
real-corp.info_BAD_
saunacushions.com_BAD_
slicktalk.net_BAD_
test.cedrussauna.net_BAD_
tsukasagiku.com_BAD_
villadiana.lv_BAD_
webhost911.com_BAD_

Téléchargement de la Charge active au 30/09/2016
URIs observées :
\021ygs7
\bdb37
\g76ub76

Domaines observés :
0735home.com_BAD_
1maximus.ru_BAD_
368lx.com_BAD_
81millstreet.nl_BAD_
alliswelltour.com_BAD_
americanfancies.com_BAD_
amerikanservisi.com_BAD_
ampconnect.com_BAD_
anhsaodem.info_BAD_
aquatixbottle.com_BAD_
arbeit-von-zuhause.com_BAD_
askmeproperties.com_BAD_
atstory.com_BAD_
badminton2008.com_BAD_
bandbcreuse.com_BAD_
bdfxb.com_BAD_
beineinu.org_BAD_
birthstory.com_BAD_
brioconseils.com_BAD_
cafe-bg.com_BAD_
chchqq.com_BAD_
cmcomunicacion.es_BAD_
dedivan.ru_BAD_
delphinph.com_BAD_
demo.website.pl_BAD_
dfl210.ru_BAD_
ecoledesalsa.com_BAD_
econopaginas.com_BAD_
gadget24.ro_BAD_
game6media.com_BAD_
globalremoteservices.com_BAD_
gomelnaushnik.com_BAD_
hollywoodjesus.com_BAD_
ingpors.sk_BAD_
innogenap.com_BAD_
juyinggroup.com_BAD_
kashira.potolki.bz_BAD_
kelownatownhomes.com_BAD_
kolonker.com_BAD_
mahboob-e-rehmani.com_BAD_
nokianshop.com_BAD_
opmsk.ru_BAD_
parroquiansg.org_BAD_
pecschool.com_BAD_
purebanquet.com_BAD_
rikuzentakata-mpf.org_BAD_
rutlandhall.com_BAD_
slaterarts.com_BAD_
smokintech.com_BAD_
sonajp.com_BAD_
sotorentals.com_BAD_
studiorif.ru_BAD_
techsilicon.com_BAD_
teothemes.com_BAD_
travelinsider.com.au_BAD_
travicoperu.com_BAD_
undiaem.com_BAD_
unionathletica.com_BAD_
veganvet.net_BAD_
victorcasino.com_BAD_
w3hostingserver.com_BAD_
werix.sk_BAD_
www.sikharaprojects.com_BAD_
zdiaran.sk_BAD_

Téléchargement de la Charge active au 07/09/2016
around4percent.web.fc2.com_BAD_/j8fn3rg3
bostoncittyregenerww.com_BAD_/js/j8fn3rg3
kreativmanagement.homepage.t-online.de_BAD_/j8fn3rg3
marcotormento.de_BAD_/j8fn3rg3
maxshoppppsr.biz_BAD_/js/vf3gt4b4
michik.web.fc2.com_BAD_/j8fn3rg3
news.oboyle.ro_BAD_/myeyuum
sp-moto.ru_BAD_/j8fn3rg3
unimet.tmhandel.com_BAD_/j8fn3rg3
www.hestia-bewindvoering.nl_BAD_/j8fn3rg3
www.montegelato.it_BAD_/j8fn3rg3
www.termoalbiate.com_BAD_/uwmakrm
www.vilastefania.go.ro_BAD_/j8fn3rg3

Serveurs de C&C - Command and Control au 07/09/2016
Selon nos analyses, les domaines sont générés aléatoirement. Aucun domaine pertinent n'est pour l'instant disponible.

Les IPs suivantes sont susceptibles d'être contactées comme C&C et peuvent être ajoutées en liste noire :
212.109.192.235
149.154.152.108

L'uri suivante semble stable. Elle peut servir de marqueur lors d'une investigation mais ne doit pas être mise en liste noire au risque de générer beaucoup de faux positifs.
/data/info.php

Mesures préventives
Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
OSDRIVE\Users\*\AppData\
OSDRIVE\Windows\Temp\
Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
UserProfile\AppData
SystemRoot\Temp

Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.

Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.


Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

Cette alerte sera maintenue tant que le volume de message électronique constaté sera considéré significatif par le CERT-FR.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27291
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de Spam de type Zepto (05 septembre 20

Messagede pierre » 18 Nov 2016, 08:51

Fin de l'alerte

Dernière liste de marqueurs identifiés :

URI de distribution de charge observée:

/t67bg
/t76f3g

Domaines distributeur de charge (point d'eau, site légtime compromis):

pkastrologer.com_BAD_
redsrev.com_BAD_
lancasternewcity.com.ph_BAD_
samspizzapasta.com_BAD_

Domaine distributeur de charge:

duplespry.net_BAD_
arzunyolk.com _BAD_

Téléchargement de charge au 24/10/2016
URI obbservée:

/076wc

Domaines observés:

3ainstrument.com._BAD_
abulhoul.ae._BAD_
bagnet.ir._BAD_
beyondhorizon.net._BAD_
castoncorporateadvisory.in._BAD_
checkimage.comuf.com._BAD_
cignitech.com._BAD_
cygnatech.com._BAD_
cynosurejobs.net._BAD_
dolphinom.com._BAD_
grupoecointerpreis.com._BAD_
hotel.comxa.com._BAD_
icclicks.com._BAD_
jhandiecohut.com._BAD_
ledenergythai.com._BAD_
naacllc.com._BAD_
nanrangy.net._BAD_
olpharm.com._BAD_
punjabipollywood.com._BAD_
sowkinah.com._BAD_
stock.comuf.com._BAD_
thaitooling.net._BAD_
wamasoftware.com._BAD_
wkreation.com._BAD_
www.jhandiecohut.com._BAD_
www.pspgemencheh.edu.my._BAD_
www.pspmrsmtumpat.com._BAD_
www.rawahyl.com._BAD_

Téléchargement de charge au 12/10/2016
URI observée:

/d5436gh

Domaines observés :

eaglemouth.org_BAD_
dabihfluky.com_BAD_

Téléchargement de charge au 03/10/2016

URIs observées :

\jhg45s

Domaines observés :

acaciainvest.ro_BAD_
alraysa.com_BAD_
anthonycarducci.lawyerpublicity.com_BAD_
antiquescollectablesandjuststuff.com_BAD_
atronis.com_BAD_
bluewaterappco.com_BAD_
boservice.info_BAD_
catlong.com_BAD_
cedrussauna.com_BAD_
craftsreviews.com_BAD_
crossroadspd.com_BAD_
denvertracy.com_BAD_
dickenshandchimes.com_BAD_
dotcom-enterprises.com_BAD_
eidshow.com_BAD_
far-infraredsaunas.com_BAD_
foe-2.com_BAD_
gcandcbuilderssite.aaomg.com_BAD_
golfnauvoo.com_BAD_
hostmyimage.biz_BAD_
icdsarch.com_BAD_
ifsaiumumi.com_BAD_
inmopromo.com_BAD_
lesscellantshautegamme.ca_BAD_
maxleather.aaomg.com_BAD_
mmm2.aaomg.com_BAD_
monkeysdragon.net_BAD_
msurf.net_BAD_
new2.aaomg.com_BAD_
nonprofitbenefit.com_BAD_
nutrahacks.com_BAD_
orhangazitur.com_BAD_
parkerneem.com_BAD_
real-corp.info_BAD_
saunacushions.com_BAD_
slicktalk.net_BAD_
test.cedrussauna.net_BAD_
tsukasagiku.com_BAD_
villadiana.lv_BAD_
webhost911.com_BAD_

Téléchargement de charge au 30/09/2016
URIs observées :

\021ygs7
\bdb37
\g76ub76

Domaines observés :

0735home.com_BAD_
1maximus.ru_BAD_
368lx.com_BAD_
81millstreet.nl_BAD_
alliswelltour.com_BAD_
americanfancies.com_BAD_
amerikanservisi.com_BAD_
ampconnect.com_BAD_
anhsaodem.info_BAD_
aquatixbottle.com_BAD_
arbeit-von-zuhause.com_BAD_
askmeproperties.com_BAD_
atstory.com_BAD_
badminton2008.com_BAD_
bandbcreuse.com_BAD_
bdfxb.com_BAD_
beineinu.org_BAD_
birthstory.com_BAD_
brioconseils.com_BAD_
cafe-bg.com_BAD_
chchqq.com_BAD_
cmcomunicacion.es_BAD_
dedivan.ru_BAD_
delphinph.com_BAD_
demo.website.pl_BAD_
dfl210.ru_BAD_
ecoledesalsa.com_BAD_
econopaginas.com_BAD_
gadget24.ro_BAD_
game6media.com_BAD_
globalremoteservices.com_BAD_
gomelnaushnik.com_BAD_
hollywoodjesus.com_BAD_
ingpors.sk_BAD_
innogenap.com_BAD_
juyinggroup.com_BAD_
kashira.potolki.bz_BAD_
kelownatownhomes.com_BAD_
kolonker.com_BAD_
mahboob-e-rehmani.com_BAD_
nokianshop.com_BAD_
opmsk.ru_BAD_
parroquiansg.org_BAD_
pecschool.com_BAD_
purebanquet.com_BAD_
rikuzentakata-mpf.org_BAD_
rutlandhall.com_BAD_
slaterarts.com_BAD_
smokintech.com_BAD_
sonajp.com_BAD_
sotorentals.com_BAD_
studiorif.ru_BAD_
techsilicon.com_BAD_
teothemes.com_BAD_
travelinsider.com.au_BAD_
travicoperu.com_BAD_
undiaem.com_BAD_
unionathletica.com_BAD_
veganvet.net_BAD_
victorcasino.com_BAD_
w3hostingserver.com_BAD_
werix.sk_BAD_
www.sikharaprojects.com_BAD_
zdiaran.sk_BAD_

Téléchargement de charge au 07/09/2016

around4percent.web.fc2.com_BAD_/j8fn3rg3
bostoncittyregenerww.com_BAD_/js/j8fn3rg3
kreativmanagement.homepage.t-online.de_BAD_/j8fn3rg3
marcotormento.de_BAD_/j8fn3rg3
maxshoppppsr.biz_BAD_/js/vf3gt4b4
michik.web.fc2.com_BAD_/j8fn3rg3
news.oboyle.ro_BAD_/myeyuum
sp-moto.ru_BAD_/j8fn3rg3
unimet.tmhandel.com_BAD_/j8fn3rg3
www.hestia-bewindvoering.nl_BAD_/j8fn3rg3
www.montegelato.it_BAD_/j8fn3rg3
www.termoalbiate.com_BAD_/uwmakrm
www.vilastefania.go.ro_BAD_/j8fn3rg3

Serveurs de Commande et de Contrôle au 07/09/2016 Selon nos analyses, les domaines sont générés aléatoirement. Aucun domaine pertinent n'est pour l'instant disponible.

Les IPs suivantes sont susceptibles d'être contactées comme CnC et peuvent être ajoutées en liste noire :

212.109.192.235
149.154.152.108

L'uri suivante semble stable. Elle peut servir de marqueur lors d'une investigation mais ne doit pas être mise en liste noire au risque de générer beaucoup de faux positifs.

/data/info.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27291
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités