Il y a de grandes chances que ce type de codec soit régulièrement mis à jour comme les faux codecs DNS.Changer/Zlob/VAC et devienne permanent.
Les méthodes de propagations restent les mêmes via des sites pornographiques de type "tube", se reporter à la page
Quelques exemples de liens ces derniers temps sur le domaine codecdownload.e-softpoertals2008.net (66.232.105.254) :
Code : Tout sélectionner
http://codecdownload.e-softpoertals2008.net/xcodec.0.exe
http://codecdownload.e-softpoertals2008.com/zcodec.1439.exe
Code : Tout sélectionner
http://antivirusdownload.funportalsoft.com/antivirus.v.1.0.1011.exe

Une fois exécuté, des fichiers videoxxx.cfg sont téléchargés :
Code : Tout sélectionner
1224514718.583 1066 192.168.1.63 TCP_MISS/200 74056 GET http://69.46.24.95/addon/video0.cfg - DIRECT/69.46.24.95 application/octet-stream
1224514724.080 1144 192.168.1.63 TCP_MISS/200 74056 GET http://lyox-lib.com/addon/video0.cfg - DIRECT/193.142.244.39 application/octet-stream
1224514728.126 1037 192.168.1.63 TCP_MISS/200 74056 GET http://78.157.143.164/addon/video0.cfg - DIRECT/78.157.143.164 application/octet-stream
1224523894.430 883 192.168.1.63 TCP_MISS/200 74056 GET http://69.46.24.95/addon/video10112.cfg - DIRECT/69.46.24.95 application/octet-stream
1224523895.622 1086 192.168.1.63 TCP_MISS/200 74056 GET http://lyox-lib.com/addon/video10112.cfg - DIRECT/193.142.244.39 application/octet-stream
1224523896.635 961 192.168.1.63 TCP_MISS/200 74056 GET http://78.157.143.164/addon/video10112.cfg - DIRECT/78.157.143.164 application/octet-stream
Trojan.Furi/Trojan.Adclicker.HB : hxxp://193.142.244.20/NMJKH-JUDHB633/216-1.exe
ou l'adware Adware.Rotator.A :
hxxp://77.245.61.232/offersfortoday/multi/43.exe
hxxp://85.92.157.141/mxlivemedia/multi/31.exe
L'infection ajoute les lignes suivantes sur HijackThis :
Exemple de ligne Adware.Rotator.A qui peuvent apparaîtrent :O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\xxx5537.exe
L'infection affiche de fausses alertes de sécurité via des popups et une icone bouclier rouge en bas à droite à côté de l'horloge affichant le message "you have a security problem!". Bref le standard des infections Zlob/Renos.O2 - BHO: offersfortoday browser enhancer - {7C6B7075-0915-C9A2-AE60-21D368B3C03D} - C:\WINDOWS\system32\lszeqwalzvpb.dll
O4 - HKLM\..\Run: [lfjxbhvokna] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lszeqwalzvpb.dll"

Quelques scan VirusTotal :
File OUURMALJFCNT.DLL received on 10.19.2008 23:42:32 (CET)
Current status: finished
Result: 6/36 (16.67%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.19 Adload_r.CL
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 Trojan.Agent.gen
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 Adware/AdClicker
GData 19 2008.10.19 Win32:Adload-LN
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Fraudulent Security Program
Rising 20.66.62.00 2008.10.19 Trojan.Win32.Undef.rqu
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Additional information
Tamano archivo: 171520 bytes
MD5...: 0c8566d6da3cdb5377ca34de89cde7ac
SHA1..: 8c987a7d5932b77c3a34e24fe387da94f67faad0
Fichier b.exe reçu le 2008.10.19 20:57:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/36 (19.45%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 -
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 TrojanDropper:Win32/Renos.H
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Hijacker
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.001
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 102404 bytes
MD5...: 8e7cc0118f25ecf3107b568f2d8beef4
SHA1..: 973e9af22ef77650d21643d4fcfb92a9cbd5feb1
Fichier d.exe reçu le 2008.10.19 20:57:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/36 (25%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 TR/Agent.ahzl
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 Downloader.Zlob_r.CQ
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 Trojan.Win32.Agent.ahzl
Fortinet 3.113.0.0 2008.10.19 W32/Agent.AHZL!tr
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 Trojan.Win32.Agent.ahzl
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Malicious Software
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 Trojan.Agent.ahzl
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.001
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 87552 bytes
MD5...: 0d7cbf822cca7a05a1b505d46aa39238
SHA1..: 5541993e9dfe146f08875a58c2cba0fc45ddac74
Fichier xxx2198.exe reçu le 2008.10.19 20:57:44 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/36 (11.12%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 -
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 Trojan.Win32.Agent.aidf
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Fraudulent Security Program
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.001
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 74244 bytes
MD5...: 0061de32fd58a93ed896720ca296bc6c
SHA1..: 93f0cba84ce12dcd47cb132ee2696973aa443ee7
Fichier xxx6280.exe reçu le 2008.10.19 20:57:58 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/36 (22.23%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 Win-Trojan/Zlob.190216
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 Adload_r.CL
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 Win32:Adload-LN
Ikarus T3.1.1.44.0 2008.10.19 Trojan.Win32.Shutdowner.awy
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 Zlob.CTHM
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 -
Rising 20.66.62.00 2008.10.19 Trojan.Win32.Undef.rqu
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 Trojan.Zlob
TheHacker 6.3.1.0.119 2008.10.18 Trojan/Shutdowner.azi
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 190154 bytes
MD5...: 245676264e1b10c80806e3dfd21fa351
SHA1..: ddd67f03235b191451abeabc2571a7b6e2dfa18e