Web blog d'un ingénieur en sécurité informatique. IT Security watcher's blog: news, threats analysis, AV issues, PoC, IT security, bugs... Contact: philippe.vialle@wanadoo.fr
Un de mes collègues m'a remonté l'URL suivante, concernant une "alerte Flash Player pas à jour" :
http://watchnow.vehnix.com/?sov=255929006&hid=ckigcicqckgs&ctrl1=noiframe&id=aROS-verid60
Une autre URL menant au même endroit est la suivante : http://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.com
Au niveau filtrage sur URL, c'est pas top : https://www.virustotal.com/en/url/52f4f154396f9cc4a76950d4943007a02a50fe50579948712bd9da90a7f3ef94/analysis/1374070465/
| Normalized URL: | http://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02. |
| Detection ratio: | 0 / 39 |
| Analysis date: | 2013-07-17 14:14:25 UTC ( 1 minute ago |
Et le système Web Inspector passe totalement à côté, malheureusement :
En fait, le téléchargement à proprement parler se fait à partir de : downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012
1 moteur (Fortinet) sur VT le détecte actuellement : https://www.virustotal.com/en/url/3bf0bd076801d6464d08dc331a63d9249f87a51af3dc5b00e2a73fbaafdc895d/analysis/1374070751/
| Normalized URL: | http://downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012 |
| Detection ratio: | 1 / 39 |
| Analysis date: | 2013-07-17 14:19:11 UTC ( 1 minute ago ) |
| Fortinet | Malware site |
Pour être encore plus précis, il faudrait ajouter à cela le moteur de Forefront TMG (car il le boque aussi).
Puis, 7 moteurs AV sur 47 semblent détecter le fichier exécutable : https://www.virustotal.com/en/file/d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9/analysis/1374070866/
| SHA256: | d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9 |
| File name: | setup.exe"; filename*=utf-8''Flash%20Player%2012.exe |
| Detection ratio: | 7 / 47 |
| Analysis date: | 2013-07-17 14:21:06 UTC ( 4 minutes ago ) |
Agnitum 20130717
AhnLab-V3 20130717
AntiVir 20130717
Antiy-AVL 20130717
Avast Win32:Installer-L [PUP] 20130717
AVG 20130717
BitDefender 20130717
ByteHero 20130613
CAT-QuickHeal 20130717
ClamAV 20130717
Commtouch 20130717
Comodo Application.Win32.AirAdInstaller.A 20130717
DrWeb 20130717
Emsisoft 20130717
eSafe 20130714
ESET-NOD32 a variant of Win32/AirAdInstaller.A 20130717
F-Prot 20130717
F-Secure 20130717
Fortinet 20130717
GData 20130717
Ikarus not-a-virus:AdWare.Win32.AirAdInstaller 20130717
Jiangmin 20130717
K7AntiVirus 20130716
K7GW 20130716
Kaspersky 20130717
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130708
Malwarebytes 20130717
McAfee 20130717
McAfee-GW-Edition 20130717
Microsoft 20130717
MicroWorld-eScan 20130717
NANO-Antivirus 20130717
Norman 20130716
nProtect 20130717
Panda 20130717
PCTools 20130717
Rising 20130717
Sophos AirInstaller 20130717
SUPERAntiSpyware 20130717
Symantec 20130717
TheHacker 20130717
TotalDefense 20130717
TrendMicro 20130717
TrendMicro-HouseCall 20130717
VBA32 20130717
VIPRE AirInstaller (fs) 20130717
ViRobot 20130717
Certes, ClamAV est à rajouter dans cette liste, bien qu'il n'y apparaisse pas, car il le détecte en PUA.
Moralité, l'approche de défense en profondeur est encore une fois nécessaire ! Il ne va pas être simple à mon avis d'expliquer aux utilisateurs lambdas ici qu'il s'agit d'une vraie-fausse alerte, aux mêmes couleurs que la vraie...!