Faux site Opera Mini pour ordiphone

juillet 28th, 2011 | Posted by Cervoise in Français

Suite au précédent billet, j’ai tenté de me connecter au site depuis mon mobile.

Lorsque l’on tente de télécharger un des logiciels depuis le faux site Microsoft, je suis automatiquement redirigé vers un site au couleur d’Opera, toujours en russe.

L’accès au site est bloqué par Kaspersky Anti Virus 2011 mais pas par Kaspersky Mobile Security (KMS). Ce site propose de télécharger Opera Mini, une fois le fichier télécharger KMS sonne. L’analyse du fichier sur VirusScan donne ceci :

Antivirus Version Last Update Result
AhnLab-V3 2011.07.28.00 2011.07.27
AntiVir 7.11.12.143 2011.07.28
Antiy-AVL 2.0.3.7 2011.07.28 Trojan/win32.agent
Avast 4.8.1351.0 2011.07.27
Avast5 5.0.677.0 2011.07.27
BitDefender 7.2 2011.07.28
CAT-QuickHeal 11.00 2011.07.28
ClamAV 0.97.0.0 2011.07.28
Commtouch 5.3.2.6 2011.07.28
Comodo 9538 2011.07.28
Emsisoft 5.1.0.8 2011.07.28 Trojan-SMS!IK
eSafe 7.0.17.0 2011.07.27
eTrust-Vet 36.1.8468 2011.07.27
F-Prot 4.6.2.117 2011.07.28
F-Secure 9.0.16440.0 2011.07.28 Riskware:Java/SmsSend.Gen!A
Fortinet 4.2.257.0 2011.07.28
GData 22 2011.07.28
Ikarus T3.1.1.104.0 2011.07.28 Trojan-SMS
Jiangmin 13.0.900 2011.07.27 Trojan/J2ME.q
K7AntiVirus 9.108.4953 2011.07.27
Kaspersky 9.0.0.837 2011.07.28 Trojan-SMS.J2ME.Agent.fk
McAfee 5.400.0.1158 2011.07.28
McAfee-GW-Edition 2010.1D 2011.07.28
Microsoft 1.7104 2011.07.28
NOD32 6330 2011.07.28
Norman 6.07.10 2011.07.28
nProtect 2011-07-28.03 2011.07.28
Panda 10.0.3.5 2011.07.27
Prevx 3.0 2011.07.28
Rising 23.68.02.03 2011.07.27
Sophos 4.67.0 2011.07.28
SUPERAntiSpyware 4.40.0.1006 2011.07.28
Symantec 20111.1.0.186 2011.07.28
TheHacker 6.7.0.1.263 2011.07.26
TrendMicro 9.200.0.1012 2011.07.28
TrendMicro-HouseCall 9.200.0.1012 2011.07.28
VBA32 3.12.16.4 2011.07.27
VIPRE 9988 2011.07.28
ViRobot 2011.7.28.4592 2011.07.28
VirusBuster 14.0.142.0 2011.07.27

Pourtant Netcraft indique que le site est sur !

L’analyse du site chez VirusTotal retourne un résultat positif.

URL analysis tool Result
Avira Clean site
BitDefender Clean site
Dr.Web Clean site
G-Data Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Malware site
Phishtank Clean site
TrendMicro Unrated site
Websense ThreatSeeker Unrated site
Wepawet Unrated site

Intéressons nous au comportement de la redirection vers ce site.

Lorsqu’on lance un téléchargement depuis le premier site, l’URL suivante est requêtée :

http://sufutuv97.tk/index3.php?key=%E1%E5%F1%E0%EB%E0%F2%ED%EE%20%E4%F0%E0%E9%E2%E5%F0%20%E4%EB%FF%20%E2%E8%E4%E5%EE%EA%E0%F0%F2%FB%20sappfire

Une redirection automatique se fait vers :

http://promo.lasor.ru/doit.php?sid=2&tds-key=%E1%E5%F1%E0%EB%E0%F2%ED%EE%20%E4%F0%E0%E9%E2%E5%F0%20%E4%EB%FF%20%E2%E8%E4%E5%EE%EA%E0%F0%F2%FB%20sappfire

Si l’on utilise navigateur classique on est redirigé vers l’URL ci dessous et l’on télécharge un des fichiers présentés dans le précédent billet.

http://yandex-host.sytes.net/268858/%E1%E5%F1%E0%EB%E0%F2%ED%EE%20%E4%F0%E0%E9%E2%E5%F0%20%E4%EB%FF%20%E2%E8%E4%E5%EE%EA%E0%F0%F2%FB%20sappfire

Par contre si l’on utilise un mobile, le site lasor.ru, en détecte le User Agent et redirige vers :

http://opera-mini-download.com/?sid=547%a0%5bL,R=302%5d

Pour finir un filtrage est réalisé sur l’IP au niveau du faux site Opera Mini. En effet, après de trop nombreuses tentatives de connexions, on n’arrive plus a accéder à ce site.

MAJ le 04/08/2011

Le site opera-mini-download.com a été validé comme site de phishing auprès de Netcraft.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.