Comme d'habitude, les internautes qui téléchargent et ouvre n'importe quoi comme fichier dont la source n'est pas sûr se feront avoir.
Voici la détection sur VirusTotal d'un de ces MP3 :
Ces derniers redirigent vers la page suivante qui propose un codec divocodec.com : hxxp://now.divocodec.com/?r=wmp&title=a%20MP3%20song&embedded=falseFile Jena_Lee_-_J_aimerais_tellement.m received on 2009.11.15 03:00:22 (UTC)
Current status: finished
Result: 5/41 (12.20%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.10 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.10 -
Antiy-AVL 2.0.3.7 2009.11.10 Trojan/WMA.GetCodec
Authentium 5.2.0.5 2009.11.10 -
Avast 4.8.1351.0 2009.11.10 -
AVG 8.5.0.423 2009.11.10 -
BitDefender 7.2 2009.11.10 -
CAT-QuickHeal 10.00 2009.11.10 -
ClamAV 0.94.1 2009.11.10 -
Comodo 2905 2009.11.10 -
DrWeb 5.0.0.12182 2009.11.10 Trojan.WMALoader
eSafe 7.0.17.0 2009.11.10 -
eTrust-Vet 35.1.7113 2009.11.10 -
F-Prot 4.5.1.85 2009.11.10 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.10 -
GData 19 2009.11.10 -
Ikarus T3.1.1.74.0 2009.11.10 -
Jiangmin 11.0.800 2009.11.10 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.10 Trojan-Downloader.WMA.GetCodec.ak
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.10 -
Microsoft 1.5202 2009.11.10 TrojanDownloader:ASX/Wimad.BM
NOD32 4592 2009.11.10 -
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.10 -
Panda 10.0.2.2 2009.11.09 -
PCTools 7.0.3.5 2009.11.10 -
Prevx 3.0 2009.11.15 -
Rising 22.21.01.09 2009.11.10 Trojan.DL.Win32.GetCodec.b
Sophos 4.47.0 2009.11.10 -
Sunbelt 3.2.1858.2 2009.11.10 -
Symantec 1.4.4.12 2009.11.10 -
TheHacker 6.5.0.2.064 2009.11.09 -
TrendMicro 9.0.0.1003 2009.11.10 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.10.2029 2009.11.10 -
VirusBuster 4.6.5.0 2009.11.09 -
Additional information
File size: 4549915 bytes
MD5 : b4ae22cb58bd789e4fb9797b9653c092
SHA1 : 79c27d66af017d26bd73904cdb53783937abcfb3
Comme le montre cette capture, ce codec embarque des sponsors, l'internaute qui lit un peu les conditions d'utilisation verra que ce codec n'est pas clair.
Voici la détection VirusTotal du codec, Trojan.Swizoor ou Lop.com
Exemples de lignes ajoutées par le codec - les répertoires dans Application Data sont dû à Swizoor/Lop.com et sont aléatoires :File DivoCodec-1.1.0.0-setup.exe received on 2009.11.11 21:30:41 (UTC)
Current status: finished
Result: 10/41 (24.39%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.11 -
AhnLab-V3 5.0.0.2 2009.11.11 -
AntiVir 7.9.1.65 2009.11.11 ADSPY/DivoCodec.345
Antiy-AVL 2.0.3.7 2009.11.11 -
Authentium 5.2.0.5 2009.11.11 -
Avast 4.8.1351.0 2009.11.11 Win32:Trojan-gen
AVG 8.5.0.426 2009.11.11 -
BitDefender 7.2 2009.11.11 -
CAT-QuickHeal 10.00 2009.11.11 TrojanDownloader.Swizzor.gen
ClamAV 0.94.1 2009.11.11 -
Comodo 2920 2009.11.11 -
DrWeb 5.0.0.12182 2009.11.11 -
eSafe 7.0.17.0 2009.11.11 -
eTrust-Vet 35.1.7116 2009.11.11 -
F-Prot 4.5.1.85 2009.11.11 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.11 -
GData 19 2009.11.11 Win32:Trojan-gen
Ikarus T3.1.1.74.0 2009.11.11 Trojan-Downloader.Win32.Swizzor
Jiangmin 11.0.800 2009.11.11 -
K7AntiVirus 7.10.894 2009.11.11 -
Kaspersky 7.0.0.125 2009.11.11 -
McAfee 5799 2009.11.11 -
McAfee+Artemis 5799 2009.11.11 Artemis!73C8324C35A2
McAfee-GW-Edition 6.8.5 2009.11.11 Heuristic.BehavesLike.Win32.Suspicious.C
Microsoft 1.5202 2009.11.11 TrojanDownloader:Win32/Swizzor.gen!L
NOD32 4597 2009.11.11 -
Norman 6.03.02 2009.11.10 -
nProtect 2009.1.8.0 2009.11.11 -
Panda 10.0.2.2 2009.11.11 Suspicious file
PCTools 7.0.3.5 2009.11.11 -
Prevx 3.0 2009.11.11 Medium Risk Malware
Rising 22.21.02.09 2009.11.11 -
Sophos 4.47.0 2009.11.11 -
Sunbelt 3.2.1858.2 2009.11.11 -
Symantec 1.4.4.12 2009.11.11 -
TheHacker 6.5.0.2.066 2009.11.11 -
TrendMicro 9.0.0.1003 2009.11.11 -
VBA32 3.12.10.11 2009.11.11 -
ViRobot 2009.11.11.2031 2009.11.11 -
VirusBuster 4.6.5.0 2009.11.11 -
Additional information
File size: 345441 bytes
MD5 : 73c8324c35a24688a25fd2649a4c1f46
SHA1 : db72688327a793be0b12caa3b8d604848b76d669
Code : Tout sélectionner
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.iesearch.com/
O4 - HKLM\..\Run: [eggs joy math type] C:\Documents and Settings\All Users\Application Data\Bind army eggs joy\dent iso.exe
O4 - HKCU\..\Run: [GlobalHide] C:\DOCUME~1\MALEKA~1\APPLIC~1\ARMYLO~1\softtrust.exe
Les répertoires ajoutés :
Le codec installe donc aussi des composants Ask Search Assistant qui modifie en autre la page de démarrage vers iesearch : hxxp://www2.iesearch.com/c:\Documents and Settings\All Users\Application Data\Bind army eggs joy
c:\Documents and Settings\Malekal_morte\Application Data\army log
c:\Documents and Settings\Malekal_morte\Start Menu\Programs\Ask Search Assistant
c:\Documents and Settings\Malekal_morte\Start Menu\Programs\DivoCodec
c:\Program Files\army log
c:\Program Files\Ask Search Assistant
c:\Program Files\DivoCodec
~~
Pour les ânes qui auraient installés ce codec, le composant Swizoor/lop.com et Ask Search Assistant sont désinstallables depuis ajout/suppression de programmes du panneau de configuration sous le nom de :
- CiD Help
- Ask Search Assistant
Dans le cas de CiD Help, il vous sera demandé de saisir un digicode :
Le fait de désinstaller Ask Search Assistant ne remet pas la page de démarrage de votre navigateur WEB, à vous de le faire manuellement.
Dans le cas de Swizoor, vous pouvez aussi utiliser Lop Search & Destroy
Encore une fois, arretez de télécharger n'importe quoi, le P2P c'est le mal.
Thanx doc_pc