Ces faux codecs sont proposés :
- sur des sites pornographiques.. L'internaute clic sur un lien pour visualiser des vidéos pornographiques.. Un message lui indique qu'il doit installer un nouveau codec pour visualiser la vidéo.
- Lors de l'execution de cracks : http://forum.malekal.com/viewtopic.php?f=33&t=4869
- Sur des sites WEB piégés :
- ex avec MySpace : http://forum.malekal.com/videoaccesscod ... t4869.html
- site WEB hacké : http://forum.malekal.com/video-activex- ... t5754.html
- Faux blogs piégés : http://forum.malekal.com/video-activex- ... t5874.html
- Net-Worm.Win32.Koobface se propageant sur les réseaux sociaux FaceBook et MySpace : des liens vers des pages avec des vidéos érotiques sont créés automatiquement par les PC infectés
- Web-MediaPlayer et LivePlayer installant l'adware Magic.Control/navipromo
- Les faux codec peuvent aussi installer directement des rogues - Ex avec Security Tool : http://forum.malekal.com/security-tool- ... ml#p209706
Quelques exemples de sites WEB pornographiques proposant de faux codecs.
Ces sites pornographiques sont des faux et créés exclusivement pour propager ces faux codecs.
Ce sont en général des sites de thumbs ou proposant des vidéos pornographiques.
Les domaines changent tous les jours et ces sites sont dupliqués en plusieurs exemples.
Une nébuleuse de faux sites WEB pornographiques (plusieurs milliers) est alors créés conduisant à ces faux sites.
Des sites WEB hackés peuvent aussi conduirent à ces sites.
Enfin de "vrais" sites WEB pornographiques non scrupuleux peuvent se faire payer afin de rediriger vers ces sites, c'est une forme de sponsoring.
On peux aussi atterrir sur de faux profiles de membres de forum qui proposent ces vidéos, le but étant d'utiliser le ranking du site pour être en haut des résultats Google sur des mots clefs relatifs au porno : http://forum.malekal.com/security-tool- ... ml#p235850
Voici un exemple avec Porntube...
En cliquant sur une des soit disantes vidéos... une proposition de faux codecs est alors faites... si le fichier est chargé, l'infection s'installe.
Autre exemple avec Voici un exemple YouJizz...
Encore une fois, après avoir cliqué sur une vidéo proposé, c'est un faux codec qui est proposé...
On reprend le même principe avec des faux sites proposant des videos dénudés de stars...
et hop faux codec...
Un faux site de streaming Vidéo...
qui propose un faux codec....
Tout l'art du social engineering, on propose la carotte, l'utilisateur qui ne réfléchit pas, fait le reste.
Même chose avec des faux sites de cracks : http://forum.malekal.com/viewtopic.php?f=66&t=4869
Conséquence : Ces faux codecs installent les infections Zlob/VideoAccess/Trojan.Win32.DNSChanger :
- soit des infections avec des Rogues et alertes de sécurités, vous devez alors utiliser SmitFraudfix
- soit modifie vos serveurs DNS afin d'effectuer des Redirections lors des recherches Google, ce sont alors des infections TrojanDNS/TrojanDNSChanger, se reporter au
Tutorial FixWareout : Supprimer les infections Trojans.DNS/Trojan.DNSChanger
Si vous voyez le mot Video ActiveX Objet, fermer toutes les fenêtres de sites !
Le procédé utilise le le social engineering (ex concret avec Trojan.DNSChanger et celebsporntube) pour tromper les internautes, l'internaute naif, non méfiant et qui télécharge et execute tous fichiers qu'on lui propose se verra donc infecter.
Une fois ces faux codecs installés sur le disque dur, ces derniers affichent des popups d'alerte pour vous faire télécharger et installer des rogues (puis les acheter).
Le faux codec peut aussi entraîner des Redirection lors des recherches Google ou modifier le fond d'écran.
Les faux codecs peuvent aussi installer des rogues du type souvent : VirustBurst ou SpyQuake2
Le faux codec modifie votre page de démarrage sur Internet Explorer
ou vous harcèle de popup de publicités.
Voici quelque unes ces popups ouvertes par ces faux-codecs une fois installés. :
Ces jolis codecs portent les doux noms de : eCodec / IntCodec / PCodec / HQ Codec / ZipCodec mais de nouveaux arrivent régulièrement.
Supprimer eCodec / IntCodec / PCODEC / HQ Codec
Une liste de ces faux codecs est disponible à cette adresse : http://www.jahewi.nl/lists/fakecodecs/fakecodecs.html
Pour plus d'informations sur ces infections, lire la page Zlob/VideoAccess/Trojan.Win32.DNSChanger.