Imprimer

Pseudo-achat en ligne

.

Domaine utilisé

Le domaine associé à l'URL sur laquelle le navigateur va aller est de création très récente (moins de trois jours), ce qui ne peut que renforcer, si besoin était, l'impression que la situation n'est pas tout à fait normale.

Domaine associé

Contenu de l'URL

Si l'on se connecte sur l'URL concernée, une redirection nous renvoie sur le même serveur afin de récupérer une archive compressée.

$ wget -S http://zabizabi.hamzajolina.net/14478555/
--2014-02-03 12:36:57--  http://zabizabi.hamzajolina.net/14478555/
Proxy request sent, awaiting response...
  HTTP/1.1 302 Moved Temporarily
  Date: Mon, 03 Feb 2014 11:38:32 GMT
  Server: Apache/2.2.15 (CentOS)
  X-Powered-By: PHP/5.3.3
  Location: http://zabizabi.hamzajolina.net/14478555/47888888.zip
  Content-Length: 0
  Content-Type: text/html; charset=UTF-8
  Connection: keep-alive
Location: http://zabizabi.hamzajolina.net/14478555/47888888.zip [following]
--2014-02-03 12:36:57--  http://zabizabi.hamzajolina.net/14478555/47888888.zip
  HTTP/1.1 200 OK
  Date: Mon, 03 Feb 2014 11:38:32 GMT
  Server: Apache/2.2.15 (CentOS)
  Last-Modified: Mon, 03 Feb 2014 02:24:12 GMT
  ETag: "3da68f-57d79-4f17738220b00"
  Accept-Ranges: bytes
  Content-Length: 359801
  Content-Type: application/zip
  Connection: keep-alive
Length: 359801 (351K) [application/zip]
Saving to: ‘index.html’
2014-02-03 12:36:58 (1.08 MB/s) - ‘index.html’ saved [359801/359801]

Le document récupéré contient un exécutable Windows

$ unzip -t index.html
Archive:  index.html
    testing: 47888888.exe             OK
No errors detected in compressed data of index.html.
$ unzip index.html
Archive:  index.html
  inflating: 47888888.exe           
$ file 47888888.exe
47888888.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

Cet exécutable n'est pas encore identifié comme certainement malveillent (score 5/51 seulement sur VirusTotal). Il n'a été signalé que très récemment, ce qui explique le faible score.

VirusTotal, 5/51

Toutefois, les quelques détections ne laissent pas de doute sur la malveillance de l'exécutable en question.