In questo post del 2007
http://edetools.wordpress.com/2007/10/16/i-falsi-codec-video/ illustravo alcuni falsi siti di codec che in realta' distribuivano malware.
(nota: il link punta al mirror del blog su Wordpress in quanto le vecchie immagini su Blogger sono state eliminate per ragioni di spazio disco)A distanza di piu'
di 2 anni ritorno sull'argomento illustrando un caso attuale, segnalato anche da
www.downloadblog.it.Si tratta di un
server con IP riconosciuto come svedese, da quanto risulta con un trace, ma che comunque sembra legato al nome
di noto hoster usa , spesso coinvolto in distribuzione di pagine con problemi.
Come succedeva gia' tempo fa,
sullo stesso IP troviamo decine di siti che distribuiscono eseguibili proposti come software di installazione di codecs ma anche client Torrent e player video.
Esaminiamo
alcuni dettagli dei siti interessati collegati alla distribuzione degli eseguibili
Ecco la home
di 3xcodec
che
VT vede come
e
l'identica pagina, tranne che per il nome del software proposto, e precisamente
divoCodec.
Questo invece
il sito che propone, sempre su stesso IP, un client torrent
che risulta ad una analisi VT
ma anche
player video
con VT
Sia dalle
date di registrazione dei domini che distribuiscono queste
fake applicazioni, ma anche consultando database online di indirizzi pericolosi
si evidenzia che e' gia' da tempo sono in circolazione queste pagine, anche se, come si nota, su
diverso IP.Anche
Safeweb Norton sembra confermare la pericolosita'del sito
di falso Codec
ma riguardo al sito 3wplayer fallisce l'analisi indicandolo
come SAFE (bollino verde)
, cosa ancora piu' strana trovando il
software Symantec come uno di quelli che individuavano il problema nel file eseguibile del 3wplayer (questa una analisi VT del file alla data del
marzo 2010)
Ritornando al
falso software di installazione dei codec x3codec quando lo stesso viene eseguito si connette a diversi siti per scaricare altro malware sul PC
Ecco alcuni esempi legati a x3codec relativamente agli ulteriori file scaricati quando il programma e' eseguito sul PC
Attraverso l'uso di
Curl sono stati scaricati ed esaminati alcuni dei files che x3codec preleva da remoto quando in esecuzione :
questa l'analisi VT di
p2c18.exe
e
tservice.dll
In particolare
p2c18.exe viene visto, anche se non da tutti gli antivirus, come file pericoloso
Considerato che non tutti gli antivirus riconoscono i files eseguibili scaricati come pericolosi, e che quasi sempre questi files proposti come codecs, players, client torrent ecc... sono aggiornati dai loro creatori per eludere i controlli dei softwares Av, la protezione migliore e sicuramente quella di consultare in rete se sono disponibili informazioni al riguardo del programma che vogliamo installare.
Quasi sicuramente, se si tratta di software malevolo troveremo tramite una ricerca, riferimenti alla sua pericolosita' e ai possibili danni che potrebbe arrecare se eseguito sul nostro PC.
Edgar
presentavano questa mattina(ora thai) una pagina in sostituzione della homepage
Ecco invece un sito appartenente a Comune con attualmente inclusa la seguente pagina (notare identico nominativo della pagina vista prima anche se questa volta non in grafica ma solo testo)
Anche nella giornata di ieri sempre numerosi i siti con problemi, tra cui quelli hostati su
con home sostituita da (stesso personaggio visto oggi su altri siti)
con la seguente pagina sempre in sostituzione della homepage
Questo il report
