Chciałem jak człowiek cywilizowany sprawdzić jak wygląda polecana przez przyjaciółkę Marta Krupa w celu zmiany obecnej już od jakiegoś czasu na pulpicie wytartej Paris Hilton. Wpisałem w wyszukiwarkę jedyną i słuszną (;]) marta krupa by w odnośniku numer dwa przeczytać, że: Forget the Hiltons – Joanna Krupa and her hot kid sister Marta are the sexiest siblings in the world. Ktoś dosłownie czytał w moich myślach. Pomyślałem, że usługa dopasowania reklamy do odbiorcy Google Adsense staje się coraz bardziej zaawansowana. Chwilę poklikałem i zabrałem się za link numer dziewięć czyli: Joanna & Marta Krupa nude… Joanna & Marta Krupa naked exclusive aby dogłębnie zpenetrować interesującą mnie tematykę ;]
Na stronie www modyo com / 13fc37 dostałem ładny link w formie pseudo odtwarzacza plików video. Po kliknięciu zostałem przeniesiony do strony: alyssafan net / 5.html, gdzie ujrzałem konkretny komunikat o braku Certyfikowanego codeca (po filmie jestem hardcorem wszyscy chcą mieć certyfikaty cztery), który mogę pobrać i zainstalować (będzie działał pod każdą przeglądarką). Sam odnośnik do pliku wskazywał na securityscanavailable com / download.php?affid=22700. Plik install.exe po wrzuceniu do serwisu VirusTotal pokazał, iż 14 silników z 41 dostępnych wykryło aplikację jako szkodnika (raport ze skanu). Przy okazji ilość wizyt jest zliczana za pomocą serwisów liveinternet ru oraz counter yadro ru.
Metoda stara i dobrze nam znana, ale jak widać nadal wykorzystywana. Zapewne skutecznie :]
I garść szczegółów technicznych:
Wyniki z Norman Sandboxa:
install.exe : Not detected by Sandbox (Signature: W32/FakeAV)
[ DetectionInfo ]
* Filename: C:\analyzer\scan\install.exe.
* Sandbox name: NO_MALWARE
* Signature name: W32/FakeAV.E!genr.
* Compressed: NO.
* TLS hooks: NO.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.[ General information ]
* File length: 709162 bytes.
* MD5 hash: d56d9de89ffd77da6dfb9371bb884788.
I link do szczegółowej analizy w Sunbelt Sandboxie.
Domain Name: ALYSSAFAN.NET
Registrar: REGTIME LTD.
Whois Server: whois.regtime.net
Referral URL: http://www.webnames.ru
Name Server: NS5.CLIHOST.NET
Name Server: NS6.CLIHOST.NET
Status: ok
Updated Date: 16-jul-2009
Creation Date: 07-nov-2008
Expiration Date: 07-nov-2009
Domain name: alyssafan.net
Name servers:
ns5.clihost.net
ns6.clihost.net
Registrar: Regtime Ltd.
Creation date: 2008-11-07
Expiration date: 2009-11-07
Status: active
Registrant:
kovalev vadim
Email: phaeton55@gmail.com
Organization: n/a n/a n/a
Address: industrialny pr. 17-3-48
City: saint-petersburg
State: saint-petersburg
ZIP: 195426
Country: RU
Phone: +7.8125263284
Domain Name: SECURITYSCANAVAILABLE.COM
Registrar: REGTIME LTD.
Whois Server: whois.regtime.net
Referral URL: http://www.webnames.ru
Name Server: NS1.SECURITYSCANAVAILABLE.COM
Name Server: NS2.SECURITYSCANAVAILABLE.COM
Status: ok
Updated Date: 22-jul-2009
Creation Date: 14-jul-2009
Expiration Date: 14-jul-2010
Domain name: securityscanavailable.com
Name servers:
ns1.securityscanavailable.com
ns2.securityscanavailable.com
Registrar: Regtime Ltd.
Creation date: 2009-07-14
Expiration date: 2010-07-14
Status: active
Registrant:
Bryan Murry
Email: Bryan.J.Murry@trashymail.com
Organization: Private person
Address: 515 Bird Spring Lane
City: Houston
State: TX
ZIP: 77077
Country: US
Phone: +1.2815298956
Fax: +1.2815298956
Administrative Contact:
John Cross
Email: John.J.Cross@dodgit.com
Organization: Private person
Address: 4572 State Street
City: Livonia
State: MI
ZIP: 48150
Country: US
Phone: +1.3139379221
Fax: +1.3139379221
Technical Contact:
Robert Smith
Email: Robert.V.Smith@dodgit.com
Organization: Private person
Address: 3298 John Daniel Drive
City: MANCHESTER
State: MO
ZIP: 63011
Country: US
Phone: +1.5736927857
Fax: +1.5736927857
Billing Contact:
Bryan Murry
Email: Bryan.J.Murry@trashymail.com
Organization: Private person
Address: 515 Bird Spring Lane
City: Houston
State: TX
ZIP: 77077
Country: US
Phone: +1.2815298956
Fax: +1.2815298956
securityscanavailable.com has address 209.44.126.22
alyssafan.net has address 87.118.126.62
whois 209.44.126.22
OrgName: Netelligent Hosting Services Inc.
OrgID: NHS-31
Address: 1396 Franklin Drive
City: Laval
StateProv: QC
PostalCode: H7W-1K6
Country: CA
NetRange: 209.44.96.0 – 209.44.127.255
CIDR: 209.44.96.0/19
NetName: NETEL-ARIN-BLK02
NetHandle: NET-209-44-96-0-1
Parent: NET-209-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.NETELLIGENT.CA
NameServer: NS2.NETELLIGENT.CA
NameServer: NS3.NETELLIGENT.CA
Comment:
RegDate: 2006-08-01
Updated: 2007-03-20
RTechHandle: NETEL1-ARIN
RTechName: Netelligent Ops
RTechPhone: +1-514-369-2209
RTechEmail: ops@netelligent.ca
OrgAbuseHandle: NETEL2-ARIN
OrgAbuseName: Netelligent Abuse
OrgAbusePhone: +1-514-369-2209
OrgAbuseEmail: abuse@netelligent.ca
OrgTechHandle: NETEL1-ARIN
OrgTechName: Netelligent Ops
OrgTechPhone: +1-514-369-2209
OrgTechEmail: ops@netelligent.ca
whois 87.118.126.62
inetnum: 87.118.96.0 – 87.118.127.255
netname: DE-KEYWEB-III
descr: Keyweb AG IP Network
country: DE
admin-c: KWAG-RIPE
tech-c: KWAG-RIPE
status: ASSIGNED PA
mnt-by: KEYWEB-MNT
source: RIPE # Filtered
person: Hostmaster Day
address: Keyweb AG
address: Neuwerkstr. 45/46
address: 99084 Erfurt
address: Germany
phone: +49-361-658530
abuse-mailbox: abuse@keyweb.de
fax-no: +49-361-6585366
nic-hdl: KWAG-RIPE
mnt-by: KEYWEB-MNT
source: RIPE # Filtered
% Information related to ’87.118.64.0/18AS31103′
route: 87.118.64.0/18
descr: Keyweb AG IP Network
origin: AS31103
mnt-by: KEYWEB-MNT
source: RIPE # Filtered
7 komentarzy do
24 lipca, 2009 o godzinie 08:39
pod pingwinem opera(wylaczone js) chce sciagac plik ‘setup.exe’ ze strony ‘codec-xxx com’(fajny adres ;))
BTW rowolucyjny ten odtwarzacz, dziala bez flasha :)
ps po wrzuceniu tego ‘alyssafan net / 5 html’ do link scannera;
DANGEROUS: LinkScanner Online has found [Trojan Fake Codec (type 500)]
Detail: Exploit: Trojan Fake Codec
25 lipca, 2009 o godzinie 03:00
No to dostałeś co chciałeś :), swoją drogą patrząc na adres strony ALYSSAFAN.NET to ja chyba znam właścicielkę…
25 lipca, 2009 o godzinie 10:43
Spod pingwina dostałem też nieco inny plik: http://www.virustotal.com/pl/analisis/a44605d70a06c97a0aeb4d251a0e7cc0db6124e76bc5dec3dd2fdf9143ef5c20-1248463556
Widać oferta dostosowana do klienta :->
22 listopada, 2009 o godzinie 11:07
No i ściągnąłeś tę Krupę czy nie? ;-d
22 listopada, 2009 o godzinie 13:26
Oj, teraz będziesz miał ciepło… ;]
22 listopada, 2009 o godzinie 14:56
Mam Ją w domu i testuję…
10 listopada, 2010 o godzinie 08:58
[...] bothunters.pl to by wiedział, że niejednokrotnie o tego typu przypadkach pisaliśmy choćby tu o Marcie Krupie i jej rozbieranych zdjęciach i tutaj o Rihannie także nago całkowicie. Nie zapytałem kolegi jak tam trafił ale chyba już [...]