Renos/Zlob : "you have a security problem" : codec.xxx.exe

[Malekal_morte]

Nouveau type de faux codec avec des fichiers de type xcodec.xxx.exe.
Il y a de grandes chances que ce type de codec soit régulièrement mis à jour comme les faux codecs DNS.Changer/Zlob/VAC et devienne permanent.

Les méthodes de propagations restent les mêmes via des sites pornographiques de type "tube", se reporter à la page

Quelques exemples de liens ces derniers temps sur le domaine codecdownload.e-softpoertals2008.net (66.232.105.254) :

Code : Tout sélectionner

http://codecdownload.e-softpoertals2008.net/xcodec.0.exe 
http://codecdownload.e-softpoertals2008.com/zcodec.1439.exe

L'infection peux aussi s'installer via de fausses pages d'alertes proposant un fichier antivirus.v.1.0.1011.exe (toujours sur 66.232.105.254)

Code : Tout sélectionner

http://antivirusdownload.funportalsoft.com/antivirus.v.1.0.1011.exe

Une fois exécuté, des fichiers videoxxx.cfg sont téléchargés :

Code : Tout sélectionner

1224514718.583   1066 192.168.1.63 TCP_MISS/200 74056 GET http://69.46.24.95/addon/video0.cfg - DIRECT/69.46.24.95 application/octet-stream
1224514724.080   1144 192.168.1.63 TCP_MISS/200 74056 GET http://lyox-lib.com/addon/video0.cfg - DIRECT/193.142.244.39 application/octet-stream
1224514728.126   1037 192.168.1.63 TCP_MISS/200 74056 GET http://78.157.143.164/addon/video0.cfg - DIRECT/78.157.143.164 application/octet-stream
1224523894.430    883 192.168.1.63 TCP_MISS/200 74056 GET http://69.46.24.95/addon/video10112.cfg - DIRECT/69.46.24.95 application/octet-stream
1224523895.622   1086 192.168.1.63 TCP_MISS/200 74056 GET http://lyox-lib.com/addon/video10112.cfg - DIRECT/193.142.244.39 application/octet-stream
1224523896.635    961 192.168.1.63 TCP_MISS/200 74056 GET http://78.157.143.164/addon/video10112.cfg - DIRECT/78.157.143.164 application/octet-stream

Selon la variante cité plus haut un fichier au nom aléatoire est téléchargé, exemple :
Trojan.Furi/Trojan.Adclicker.HB : hxxp://193.142.244.20/NMJKH-JUDHB633/216-1.exe
ou l'adware Adware.Rotator.A :
hxxp://77.245.61.232/offersfortoday/multi/43.exe
hxxp://85.92.157.141/mxlivemedia/multi/31.exe

L'infection ajoute les lignes suivantes sur HijackThis :

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\xxx5537.exe

Exemple de ligne Adware.Rotator.A qui peuvent apparaîtrent :

O2 - BHO: offersfortoday browser enhancer - {7C6B7075-0915-C9A2-AE60-21D368B3C03D} - C:\WINDOWS\system32\lszeqwalzvpb.dll
O4 - HKLM\..\Run: [lfjxbhvokna] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lszeqwalzvpb.dll"

L'infection affiche de fausses alertes de sécurité via des popups et une icone bouclier rouge en bas à droite à côté de l'horloge affichant le message "you have a security problem!". Bref le standard des infections Zlob/Renos.




Quelques scan VirusTotal :

File OUURMALJFCNT.DLL received on 10.19.2008 23:42:32 (CET)
Current status: finished

Result: 6/36 (16.67%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.19 Adload_r.CL
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 Trojan.Agent.gen
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 Adware/AdClicker
GData 19 2008.10.19 Win32:Adload-LN
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Fraudulent Security Program
Rising 20.66.62.00 2008.10.19 Trojan.Win32.Undef.rqu
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Additional information
Tamano archivo: 171520 bytes
MD5...: 0c8566d6da3cdb5377ca34de89cde7ac
SHA1..: 8c987a7d5932b77c3a34e24fe387da94f67faad0

Fichier b.exe reçu le 2008.10.19 20:57:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/36 (19.45%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 -
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 TrojanDropper:Win32/Renos.H
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Hijacker
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.001
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 102404 bytes
MD5...: 8e7cc0118f25ecf3107b568f2d8beef4
SHA1..: 973e9af22ef77650d21643d4fcfb92a9cbd5feb1

Fichier d.exe reçu le 2008.10.19 20:57:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/36 (25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 TR/Agent.ahzl
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 Downloader.Zlob_r.CQ
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 Trojan.Win32.Agent.ahzl
Fortinet 3.113.0.0 2008.10.19 W32/Agent.AHZL!tr
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 Trojan.Win32.Agent.ahzl
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Malicious Software
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 Trojan.Agent.ahzl
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.001
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 87552 bytes
MD5...: 0d7cbf822cca7a05a1b505d46aa39238
SHA1..: 5541993e9dfe146f08875a58c2cba0fc45ddac74

Fichier xxx2198.exe reçu le 2008.10.19 20:57:44 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/36 (11.12%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 -
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 Trojan.Win32.Agent.aidf
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Fraudulent Security Program
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.001
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 74244 bytes
MD5...: 0061de32fd58a93ed896720ca296bc6c
SHA1..: 93f0cba84ce12dcd47cb132ee2696973aa443ee7

Fichier xxx6280.exe reçu le 2008.10.19 20:57:58 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/36 (22.23%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 Win-Trojan/Zlob.190216
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 Adload_r.CL
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 Win32:Adload-LN
Ikarus T3.1.1.44.0 2008.10.19 Trojan.Win32.Shutdowner.awy
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 Zlob.CTHM
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 -
Rising 20.66.62.00 2008.10.19 Trojan.Win32.Undef.rqu
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 Trojan.Zlob
TheHacker 6.3.1.0.119 2008.10.18 Trojan/Shutdowner.azi
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 190154 bytes
MD5...: 245676264e1b10c80806e3dfd21fa351
SHA1..: ddd67f03235b191451abeabc2571a7b6e2dfa18e

[Malekal_morte]

Thank SiRi pour l'info.

Nouvelle installer mais cette fois-ci via un faux site de MP3: muzdownload.com (74.50.117.88)

Principe déjà utilisé par d'autres faux codec : viewtopic.php?f=66&t=4869

Le site vous fait télécharger un gestionnaire de téléchargement "Download Manager", ce dernier n'est que le programme d'installation de l'infection.
Encore et toujours du beau social engineering pour tromper les internautes.

Code : Tout sélectionner

1224669111.633   1267 192.168.1.63 TCP_MISS/200 77654 GET http://downloadmanager.i-softportal.net/DownloadManager.v.1.0.0.exe - DIRECT/74.50.117.88 application/octet-stream

Ce dernier va télécharger nos amis, au même adresse que les packs cités dans le post précédent à savoir :

Code : Tout sélectionner

1224669138.712   1469 192.168.1.63 TCP_MISS/200 74568 GET http://69.46.24.95/addon/video0.cfg - DIRECT/69.46.24.95 application/octet-stream
1224669163.853   1740 192.168.1.63 TCP_MISS/200 75080 GET http://lyox-lib.com/addon/video0.cfg - DIRECT/193.142.244.39 application/octet-stream
1224669169.263   1349 192.168.1.63 TCP_MISS/200 75080 GET http://78.157.143.164/addon/video0.cfg - DIRECT/78.157.143.164 application/octet-stream
1224669190.766    884 192.168.1.63 TCP_MISS/200 38765 GET http://193.142.244.20/NMJKH-JUDHB633/216-1.exe - DIRECT/193.142.244.20 application/octet-stream

On retrouve donc nos fichiers xxx5537.exe avec la suite de chiffres aléatoires...



Le BHO..



ce pack installe Trojan.Furi/Trojan.Adclicker.HB



avec cette longue liste de tâches planifiées typiques de ce malware... et les traditionnels fausses alertes de sécurité




Scan du faux gestionnaire de download :

Fichier xcodec.247.exe reçu le 2008.10.22 04:43:30 (CET)
Situation actuelle: terminé
Résultat: 9/36 (25.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.21 -
AVG 8.0.0.161 2008.10.21 -
BitDefender 7.2 2008.10.22 Trojan.Downloader.Zlob.ACMS
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 Trojan.Downloader.Zlob.ACMS
Ikarus T3.1.1.44.0 2008.10.22 Trojan-Downloader.Win32.Renos.AY
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3544 2008.10.21 -
Norman 5.80.02 2008.10.21 Zlob.CTCQ
Panda 9.0.0.4 2008.10.22 Suspicious file
PCTools 4.4.2.0 2008.10.21 -
Prevx1 V2 2008.10.22 Malware Dropper
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 Trojan.Drop.LooksLike.Agent
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.122 2008.10.21 -
TrendMicro 8.700.0.1004 2008.10.21 Possible_DLDER
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.21.1430 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.21 -
Information additionnelle
File size: 77312 bytes
MD5...: a5ae9ccb46c0a0b4f4aa322861089efa
SHA1..: f4a25df1f6fd22bfc586a2f230ec467964fabb95

[Malekal_morte]

Le faux codec sur un site de vidéos de célébrités ( rien de nouveau car il existe une multitde de ces faux sites... ex: viewtopic.php?f=66&t=12751 ).



La fameuse erreur de codec made in Zlob : Video ActiveX Objet error


La proposition de téléchargement du faux codec...

Code : Tout sélectionner

1224855606.675     73 192.168.1.63 TCP_HIT/200 78687 GET http://codecdownload.main-downloadportal.net/xcodec.263.exe - NONE/- application/octet-stream
1224855629.831    886 192.168.1.63 TCP_MISS/200 74568 GET http://69.46.24.95/addon/video263.cfg - DIRECT/69.46.24.95 application/octet-stream
1224855633.316   1037 192.168.1.63 TCP_MISS/200 74568 GET http://lyox-lib.com/addon/video263.cfg - DIRECT/193.142.244.39 application/octet-stream
1224855636.833    538 192.168.1.63 TCP_MISS/200 74568 GET http://78.157.143.164/addon/video263.cfg - DIRECT/78.157.143.164 application/octet-stream

Le scan VirusTotal :

Fichier 76268_4595797_xcodec.0.exe reçu le 2008.10.24 12:47:05 (CET)
Situation actuelle: terminé
Résultat: 11/36 (30.56%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.24.3 2008.10.24 -
AntiVir 7.9.0.7 2008.10.24 TR/Dldr.CodecPa.CU
Authentium 5.1.0.4 2008.10.24 -
Avast 4.8.1248.0 2008.10.24 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.24 -
CAT-QuickHeal 9.50 2008.10.24 -
ClamAV 0.93.1 2008.10.24 -
DrWeb 4.44.0.09170 2008.10.24 -
eSafe 7.0.17.0 2008.10.23 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.24 -
F-Secure 8.0.14332.0 2008.10.24 Trojan-Downloader.Win32.CodecPack.dg
Fortinet 3.113.0.0 2008.10.24 -
GData 19 2008.10.24 -
Ikarus T3.1.1.44.0 2008.10.24 Trojan-Downloader.Win32.Renos.AY
K7AntiVirus 7.10.505 2008.10.23 -
Kaspersky 7.0.0.125 2008.10.24 Trojan-Downloader.Win32.CodecPack.dg
McAfee 5414 2008.10.24 -
Microsoft 1.4005 2008.10.24 TrojanDownloader:Win32/Renos.EI
NOD32 3550 2008.10.23 -
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.23 Suspicious file
PCTools 4.4.2.0 2008.10.23 -
Prevx1 V2 2008.10.24 Malware Dropper
Rising 21.00.42.00 2008.10.24 -
SecureWeb-Gateway 6.7.6 2008.10.24 Trojan.Dldr.CodecPa.CU
Sophos 4.34.0 2008.10.24 -
Sunbelt 3.1.1749.1 2008.10.23 -
Symantec 10 2008.10.24 -
TheHacker 6.3.1.0.126 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.24 Possible_DLDER
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.24.1436 2008.10.24 Trojan.Win32.Downloader.78336.J
VirusBuster 4.5.11.0 2008.10.23 -
Information additionnelle
File size: 78336 bytes
MD5...: 9ec1914d70d6d3e1ef8cc2b9465a25c0
SHA1..: 4de7849a3ca0549f34141f62d592cae6fa8a7834

[Malekal_morte]

BHO : O2 - BHO: XML module - {xxxxx} - C:\WINDOWS\system32\msxml71.dll toujours présente au travers de cette nouvelle campagne : fake-codec-faux-codec-msxml71-dll-t19113.html#p153490