VideoAccessCodec et les cracks

par **Malekal_morte** le 04 Sep 2007 18:18

VideoAccessCodec (VAC) est une infection qui en général se propage via de faux codecs permettant de visualiser des vidéos pornographiques.
Pour plus d'informations, consulez la page Attention aux faux codec

Cette infection modifie la page de démarrage, le fond d'écran et affiche des alertes proposant de télécharger & intaller des rogues généralement Ultimate Defender

Pour supprimer cette infection, suivez le guide de suppression NewMediaCodec/VideoAccessCodec

Depuis peu l'infection se propage via de faux cracks. Ces cracks se propagent via P2P (Emule, Torrent etc..) ou de faux sites de cracks.
Tous les cracks proposés sur ces sites ammènent l'infection de ce faux codecs... Vous allez me dire, il n'y a aucun rapport entre les cracks et les codecs... non mais ils n'empêchent que des internautes se font tout de même infecter via cette voie.

Tous les cracks proposés sur ce site ammène à l'infection VideoAccessCodec (VAC)

Chacun des cracks contiennent un fichier run.exe
Ce fichier contient en fait le programme d'installation du faux codec VideoAccessCodec
Une fois lancé.. l'infection s'installe sur l'ordinateur.

Voici le scan VirusTotal du fichier run.exe détecté en Zlob

Fichier run.exe reçu le 2007.09.04 14:08:39 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.9.4.1 2007.09.04 -
AntiVir 7.4.1.66 2007.09.04 TR/Dldr.Zlob.byy.3
Authentium 4.93.8 2007.09.04 -
Avast 4.7.1029.0 2007.09.04 -
AVG 7.5.0.485 2007.09.04 Downloader.Zlob.OGI
BitDefender 7.2 2007.09.04 -
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.04 -
DrWeb 4.33 2007.09.04 -
eSafe 7.0.15.0 2007.09.03 -
eTrust-Vet 31.1.5107 2007.09.04 -
Ewido 4.0 2007.09.04 -
FileAdvisor 1 2007.09.04 -
Fortinet 3.11.0.0 2007.09.04 -
F-Prot 4.3.2.48 2007.09.04 -
F-Secure 6.70.13030.0 2007.09.04 Trojan-Downloader.Win32.Zlob.byy
Ikarus T3.1.1.12 2007.09.04 Trojan-Downloader.Win32.Zlob.byy
Kaspersky 4.0.2.24 2007.09.04 Trojan-Downloader.Win32.Zlob.byy
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.04 -
NOD32v2 2502 2007.09.04 -
Norman 5.80.02 2007.09.04 Zlob.AKKQ
Panda 9.0.0.4 2007.09.04 -
Prevx1 V2 2007.09.04 -
Rising 19.39.12.00 2007.09.04 -
Sophos 4.21.0 2007.09.04 Mal/ZlobInst-A
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.04 -
TheHacker 6.1.9.177 2007.09.04 Trojan/Downloader.Zlob.byy
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 -
Webwasher-Gateway 6.0.1 2007.09.04 Trojan.Dldr.Zlob.byy.3
Information additionnelle
File size: 111502 bytes
MD5: a8c1fbcd6ea6458ab300398a62b20a37
SHA1: 34eb2a7a03140c655d8b735b7b65f43228d96d45

Sur un autre site, tous les cracks proposés sont aussi piégés et ne neccessite aucune intervention de l'utilisateur (pas besoin d'ouvrir un quelconque fichiers)..

En effet, tous les cracks ouvrent une popup Winrar Extrator qui lance à son tour le programme d'installation du faux codec et installe l'infection sur l'ordinateur.
Il suffit alors d'ouvrir le crack et faire suivant pour installer l'infection sur l'ordinateur.

Voici le scan VirusTotal de l'un de ces cracks :

Fichier pscw95kg.zip.exe reçu le 2007.09.04 14:07:59 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.9.4.1 2007.09.04 -
AntiVir 7.4.1.66 2007.09.04 DR/Dldr.Zlob.byy.4
Authentium 4.93.8 2007.09.04 -
Avast 4.7.1029.0 2007.09.04 -
AVG 7.5.0.485 2007.09.04 Downloader.Zlob.OGI
BitDefender 7.2 2007.09.04 -
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.04 -
DrWeb 4.33 2007.09.04 -
eSafe 7.0.15.0 2007.09.03 suspicious Trojan/Worm
eTrust-Vet 31.1.5107 2007.09.04 -
Ewido 4.0 2007.09.04 -
FileAdvisor 1 2007.09.04 -
Fortinet 3.11.0.0 2007.09.04 -
F-Prot 4.3.2.48 2007.09.04 -
F-Secure 6.70.13030.0 2007.09.04 Trojan-Downloader.Win32.Zlob.byy
Ikarus T3.1.1.12 2007.09.04 Trojan-Downloader.Win32.Zlob.byy
Kaspersky 4.0.2.24 2007.09.04 Trojan-Downloader.Win32.Zlob.byy
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.04 -
NOD32v2 2502 2007.09.04 -
Norman 5.80.02 2007.09.04 -
Panda 9.0.0.4 2007.09.04 Suspicious file
Prevx1 V2 2007.09.04 -
Rising 19.39.12.00 2007.09.04 -
Sophos 4.21.0 2007.09.04 Mal/ZlobInst-A
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.04 -
TheHacker 6.1.9.177 2007.09.04 -
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 -
Webwasher-Gateway 6.0.1 2007.09.04 Trojan.Dldr.Zlob.byy.4
Information additionnelle
File size: 146551 bytes
MD5: 09c496796bb53761bbf423c0ee32214a
SHA1: d0ec13b70fe028b49ec3ef00a463f6b1a76e280c
packers: UPX
packers: UPX, UPX
packers: UPX, ZIP

Encore une fois on peut voir que les cracks est un vecteur de malwares privilégiés... comme le montre le sujet Le danger des cracks! ou les infections Bagle qui se propagent par des cracks piégés sur Emule.

par **Malekal_morte** le 26 Avr 2008 22:42

hxxp://crack-keygen.info/ distribue des cracks qui ne sont en fait que le programme d'installation de l'infection VAC (faux codecs).

Il suffit de voir le lien du setup pour se rendre compte que c'est un crack piégé...

Un autre... CRACK-KEYGEN.INFO / 67.210.14.10

Un Google Group..

85.255.120.202 - adresse: SUPERSHAREBOX.COM

D'autres sites identiques au niveau de la charte graphique (qui semble avoir été prise de http://www.soft32.com)
69.50.170.186 - adresse: hxxp://WWW.SOFT-BANK.RU

69.50.170.190 - adresse: hxxp://1-CRACKS-PLANET.COM

69.50.170.189 - adresse: hxxp://WWW.1-FREE-DOWNLOAD.COM

Ces faux sites de cracks pointent tous vers SOFTPORTALFREE.COM (89.149.226.22)

Scan des fichiers à l'heure où est écrit cette page :

Fichier msetup.exe reçu le 2008.04.26 23:40:19 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 14/32 (43.75%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 DR/Delphi.Gen
Authentium 4.93.8 2008.04.26 -
Avast 4.8.1169.0 2008.04.26 -
AVG 7.5.0.516 2008.04.26 -
BitDefender 7.2 2008.04.26 -
CAT-QuickHeal 9.50 2008.04.26 -
ClamAV 0.92.1 2008.04.26 -
DrWeb 4.44.0.09170 2008.04.26 -
eSafe 7.0.15.0 2008.04.21 Suspicious File
eTrust-Vet 31.3.5736 2008.04.26 Win32/Burgspill!generic
Ewido 4.0 2008.04.26 -
F-Prot 4.4.2.54 2008.04.26 -
F-Secure 6.70.13260.0 2008.04.26 Trojan-Downloader.Win32.Peregar.co
FileAdvisor 1 2008.04.26 -
Fortinet 3.14.0.0 2008.04.26 W32/Fake.B!tr.dldr
Ikarus T3.1.1.26.0 2008.04.26 Virus.Win32.Delf.JHW
Kaspersky 7.0.0.125 2008.04.26 Trojan-Downloader.Win32.Peregar.co
McAfee 5282 2008.04.25 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Delflob.I
NOD32v2 3057 2008.04.26 -
Norman 5.80.02 2008.04.25 -
Panda 9.0.0.4 2008.04.26 Suspicious file
Prevx1 V2 2008.04.26 Downloader.Zlob
Rising 20.41.52.00 2008.04.26 Trojan.DL.Win32.Delf.zaj
Sophos 4.28.0 2008.04.26 Mal/DelpDldr-E
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.26 -
TheHacker 6.2.92.294 2008.04.26 -
VBA32 3.12.6.5 2008.04.26 suspected of Win32.Trojan.Downloader
VirusBuster 4.3.26:9 2008.04.26 -
Webwasher-Gateway 6.6.2 2008.04.26 Trojan.Dropper.Delphi.Gen
Information additionnelle
File size: 93090 bytes
MD5...: bc617674487622df76fbd748c6745506
SHA1..: 5990ab2dce7c013705b88cb4e3cb7425888ed502
SHA256: a9508adb67d7955c44b8919c9a58b0ac4f2ff64df4fcfcf61600a25f3b97718d

Fichier Setup.exe reçu le 2008.04.26 22:41:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/32 (21.88%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 HEUR/Crypted
Authentium 4.93.8 2008.04.26 -
Avast 4.8.1169.0 2008.04.26 -
AVG 7.5.0.516 2008.04.26 -
BitDefender 7.2 2008.04.26 -
CAT-QuickHeal 9.50 2008.04.26 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.26 -
DrWeb 4.44.0.09170 2008.04.26 -
eSafe 7.0.15.0 2008.04.21 Suspicious File
eTrust-Vet 31.3.5736 2008.04.26 -
Ewido 4.0 2008.04.26 -
F-Prot 4.4.2.54 2008.04.26 -
F-Secure 6.70.13260.0 2008.04.26 -
FileAdvisor 1 2008.04.26 -
Fortinet 3.14.0.0 2008.04.26 -
Ikarus T3.1.1.26 2008.04.26 -
Kaspersky 7.0.0.125 2008.04.26 -
McAfee 5282 2008.04.25 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Tibs.gen!G
NOD32v2 3057 2008.04.26 -
Norman 5.80.02 2008.04.25 -
Panda 9.0.0.4 2008.04.26 -
Prevx1 V2 2008.04.26 -
Rising 20.41.52.00 2008.04.26 -
Sophos 4.28.0 2008.04.26 Mal/EncPk-CG
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.26 -
TheHacker 6.2.92.294 2008.04.26 -
VBA32 3.12.6.5 2008.04.26 MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster 4.3.26:9 2008.04.26 -
Webwasher-Gateway 6.6.2 2008.04.26 Heuristic.Crypted
Information additionnelle
File size: 121872 bytes
MD5...: 142bfecad2c10de13a4fe6ed5393ea43
SHA1..: 8bb65244c267739424972dbd5c1ab660dc7830fb

par **Malekal_morte** le 27 Avr 2008 13:24

et aussi un faux site de téléchargement de MP3... hot-mp3portal-2008.com (206.51.229.67)

par **Malekal_morte** le 11 Mai 2008 19:08

Thanks to MAD pour l'info.

Un autre faux site de MP3 musicportalfree.com (89.149.226.22).
La charte graphique est assez similaire aux autres.

On retrouve la même proposition de téléchargement redirigeant vers un site tiers.

Les cowboys qui ne cliquent pas et regardent un peu ce qui se passe verront que ce n'est pas un .mp3 qui est proposé en téléchargement mais un .exe (fichier exécutable) qui installe l'infection.

VideoAccessCodec et les cracks

VideoAccessCodec et les cracks

Re: VideoAccessCodec et les cracks

Re: VideoAccessCodec et les cracks

Re: VideoAccessCodec et les cracks

Qui est en ligne