martedì 16 ottobre 2007

I falsi CODEC VIDEO

Un CODEC VIDEO e' un un software che consente di gestire la codifica o la decodifica di un filmato rendendone possibile la visualizzazione con un player software.
Di solito per visualizzare correttamente un filmato digitale occorre che sul pc sia installato oltre al player video anche il relativo codec per quel tipo di filmato (mpeg, mp4 , avi, divx.. ecc).
E da qualche anno che su internet si trovano falsi codec video che in realta' contengono trojan ed altri malware.

Un sistema utilizzato per poter far scaricare e mandare in run il falso codec e' quello di proporre all'utente internet un falso filmato, non funzionante, che e' creato appositamente per visualizzare un messaggio di richiesta dell aggiornamento del codec video necessario.
Se si scarica questo falso codec e lo si esegue, sperando di visualizzare il file video, in realta' si installera' sul computer un trojan.
Un altro modo per invogliare all'esecuzione di un codec fasullo puo' essere quello di promettere risultati eccezionali nella visualizzazione di dvd o filmati digitali che verrebbero riprodotti con una definizione video elevata oppure in altri casi puo' venir suggerito di scaricare il software codec per accedere a filmati in alta risoluzione che altrimenti non sarebbe possibile visualizzare in quanto codificati in un formato particolare.


Come sempre i siti che ospitano questi falsi codec hanno una veste grafica curatissima, proprio per dare una parvenza di ufficialita' al sito.

Questo e' un'altro sito tuttora funzionante che se cliccato sul link scarica questo piccolo file exe che in realta' e' il trojan dxcodec_setup.exe
L'analisi del file exe dxcodec_setup.exe scaricato con Virus Total conferma la pericolosita' del file.

[ file data ]
* name: dxcodec_setup.exe
* size: 15908
* md5.: 26202aef79849947a76231d5ae807848
* sha1: 8e13f253b7aa731dffcbd8fbec02448df4ac534d

[ scan result ]
AhnLab-V3 2007.10.16.2/20071016 found nothing
AntiVir 7.6.0.23/20071016 found [TR/Renos.15908]
Authentium 4.93.8/20071016 found nothing
Avast 4.7.1051.0/20071015 found nothing
AVG 7.5.0.488/20071016 found [Generic7.KWN]
BitDefender 7.2/20071016 found nothing
CAT-QuickHeal 9.00/20071015 found [Hoax.Renos.id (Not a Virus)]
ClamAV 0.91.2/20071014 found nothing
DrWeb 4.44.0.09170/20071016 found nothing
eSafe 7.0.15.0/20071015 found [suspicious Trojan/Worm]
eTrust-Vet 31.2.5214/20071016 found nothing
Ewido 4.0/20071015 found nothing
F-Prot 4.3.2.48/20071015 found nothing
F-Secure 6.70.13030.0/20071016 found [not-virus:Hoax.Win32.Renos.id]
FileAdvisor 1/20071016 found nothing
Fortinet 3.11.0.0/20071016 found [Misc/Renos]
Ikarus T3.1.1.12/20071016 found [not-a-virus:Hoax.Win32.Renos.dk]
Kaspersky 7.0.0.125/20071016 found [not-virus:Hoax.Win32.Renos.id]
McAfee 5141/20071015 found nothing
Microsoft 1.2908/20071016 found nothing
NOD32v2 2593/20071016 found nothing
Norman 5.80.02/20071015 found nothing
Panda 9.0.0.4/20071016 found nothing
Prevx1 V2/20071016 found nothing
Rising 19.45.11.00/20071016 found nothing
Sophos 4.22.0/20071016 found nothing
Sunbelt 2.2.907.0/20071016 found [Trojan-Downloader.Gen]
Symantec 10/20071016 found nothing
TheHacker 6.2.8.093/20071016 found [Aplicacion/Renos.id]
VBA32 3.12.2.4/20071015 found nothing
VirusBuster 4.3.26:9/20071015 found nothing
Webwasher-Gateway 6.6.1/20071016 found [Trojan.Renos.15908]


Tra l'altro il trojan Renos e' uno dei piu' diffusi, anche secondo un recente report Microsoft sui computers sottoposti a scansione con il Malware Removal Tool.

C'e' da ricordare, per evitare questi problemi di falsi codec, che quasi tutti i player piu' conosciuti hanno una funzione automatica di ricerca ed installazione del corretto codec senza dover andare su siti esterni per scaricare quello necessario se non presente nel player.

L'utilizzo inoltre di un motore di ricerca per verificarel'autenticita' del sito dal quale si vuole scaricare il codec e anche il nome del codec stesso possono servire a capire qualcosa di piu' sull'autenticita' del filec che si vuole installare.

Edgar

2 commenti:

maverick ha detto...

ammazza ancora gira sta pagina? :-)

Edgar Bangkok ha detto...

Si, e' utilizzata penso a rotazione su diversi siti, la grafica non e' poi male....
Edgar