Pseudo-achat en ligne
Domaine utilisé
Le domaine associé à l'URL sur laquelle le navigateur va aller est de création très récente (moins de trois jours), ce qui ne peut que renforcer, si besoin était, l'impression que la situation n'est pas tout à fait normale.
Contenu de l'URL
Si l'on se connecte sur l'URL concernée, une redirection nous renvoie sur le même serveur afin de récupérer une archive compressée.
$ wget -S http://zabizabi.hamzajolina.net/14478555/
--2014-02-03 12:36:57-- http://zabizabi.hamzajolina.net/14478555/
Proxy request sent, awaiting response...
HTTP/1.1 302 Moved Temporarily
Date: Mon, 03 Feb 2014 11:38:32 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Location: http://zabizabi.hamzajolina.net/14478555/47888888.zip
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Location: http://zabizabi.hamzajolina.net/14478555/47888888.zip [following]
--2014-02-03 12:36:57-- http://zabizabi.hamzajolina.net/14478555/47888888.zip
HTTP/1.1 200 OK
Date: Mon, 03 Feb 2014 11:38:32 GMT
Server: Apache/2.2.15 (CentOS)
Last-Modified: Mon, 03 Feb 2014 02:24:12 GMT
ETag: "3da68f-57d79-4f17738220b00"
Accept-Ranges: bytes
Content-Length: 359801
Content-Type: application/zip
Connection: keep-alive
Length: 359801 (351K) [application/zip]
Saving to: ‘index.html’
2014-02-03 12:36:58 (1.08 MB/s) - ‘index.html’ saved [359801/359801]
Le document récupéré contient un exécutable Windows
$ unzip -t index.html
Archive: index.html
testing: 47888888.exe OK
No errors detected in compressed data of index.html.
$ unzip index.html
Archive: index.html
inflating: 47888888.exe
$ file 47888888.exe
47888888.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
Cet exécutable n'est pas encore identifié comme certainement malveillent (score 5/51 seulement sur VirusTotal). Il n'a été signalé que très récemment, ce qui explique le faible score.
Toutefois, les quelques détections ne laissent pas de doute sur la malveillance de l'exécutable en question.