Depuis quelques jours, Nous constatons une augmentation de cas d''infections Video ActiveX Object Codec Zlob.
(Symptômes, ouverture d'alerte , Spybot@MXt trojan, NetWorm-i.Virus@fp et Spyware.Cyberlog-X etc.. et ajout de la Security Toolbar)
Video ActiveX Object Codec est un faux codec qui permet de visualiser des vidéos pornographiques sur des sites piégés, voir : http://forum.malekal.com/viewtopic.php?f=33&t=878
Video ActiveX Object Codec se propage aussi sur des sites de cracks, l'utilisateur télécharge un crack, le programme d'installation du codec s'ouvre alors, l'infection s'installe, voir : http://forum.malekal.com/viewtopic.php?f=33&t=4869
Aujourd'hui, un cas assez spécial puisque c'est directement via MySpace, un site très populaire, que l'utilisateur risque de se faire infecter.
Sur cette capture de MySpace, toute une partie du site est recouvert d'une image en fond conduisant vers un site chinois (hébergeant souvent des malwares).
Voici le code
Code : Tout sélectionner
</object><style>.navi a:visited {visibility:hidden;}</style><div class="navi"><a href="hxxp://co8vd.cn/s/" style="background-image:url(bg280.jpg);position:absolute;left:0px;top:0px;height:5880px;width:826px;"></a></div></td></tr><tr id=Similaire àRow><td valign="top" align="left" width="100" bgcolor="#b1d0f0" NOWRAP>
L'utilisateur voulant cliquer sur un lien du site myspace va en fait cliquer sur l'image de fond et être détourner vers le site chinois.
En cliquant dessus, on peut voir le contour de l'image se dessiner.
On retrouve alors la fenêtre avec le faux codec qui est aussi proposé lors de la tentative de visualisation de certains vidéos pornographiques.
L'utilisateur non averti qui ne comprend pas ce qui se passe va aller executer et l'infection est installée.
Voici la détection de l'installation de Video ActiveX Object Codec sous le nom de fichier VideoAccessCodecInstall.exe
Comme vous pouvez le voir Avast! ne détecte pas le fichier.
C'est pourquoi nous recommandons d'utiliser Antivir, voir le sujet : Avast! VS Antivir
Encore une fois, cela montre qu'il ne faut pas executer n'importe quel fichier surtout quand on ne connait pas sa provenance. Voir l'article : Prévention : Logiciels et sources de téléchargements
Fichier VideoAccessCodecInstall.exe reçu le 2007.10.25 20:05:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/32 (25%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.26.0 2007.10.25 -
AntiVir 7.6.0.27 2007.10.25 TR/Dldr.Zlob.dwf
Authentium 4.93.8 2007.10.25 -
Avast 4.7.1074.0 2007.10.25 -
AVG 7.5.0.488 2007.10.25 Downloader.Zlob
BitDefender 7.2 2007.10.25 -
CAT-QuickHeal 9.00 2007.10.25 TrojanDownloader.Zlob.gen
ClamAV 0.91.2 2007.10.25 Trojan.Dropper-2557
DrWeb 4.44.0.09170 2007.10.25 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5241 2007.10.25 -
Ewido 4.0 2007.10.25 -
FileAdvisor 1 2007.10.25 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.25 -
F-Secure 6.70.13030.0 2007.10.25 -
Ikarus T3.1.1.12 2007.10.25 -
Kaspersky 7.0.0.125 2007.10.25 -
McAfee 5149 2007.10.25 -
Microsoft 1.2908 2007.10.25 TrojanDownloader:Win32/Zlob
NOD32v2 2617 2007.10.25 -
Norman 5.80.02 2007.10.25 -
Panda 9.0.0.4 2007.10.25 -
Prevx1 V2 2007.10.25 -
Rising 19.46.31.00 2007.10.25 Trojan.DL.Win32.Zlob.def
Sophos 4.22.0 2007.10.25 Troj/Zlobar-Fam
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.25 -
TheHacker 6.2.9.107 2007.10.25 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.25 -
Webwasher-Gateway 6.0.1 2007.10.25 Trojan.Dldr.Zlob.dwf
Information additionnelle
File size: 110025 bytes
MD5: f411795b7ea106cbb11c96c060405dc0
SHA1: e14a91cf3ddafbca36c6d6a41da183350d20b39e