Cuidado Com Os Falsos Codecs

Os falsos codecs são variantes do trojan Zlob e não devem ser instalados pois, abrem caminho pra infecções por outros trojans, rootkits, etc.

A infecção pelo smitfraud é um dos melhores exemplos, pois é através destes falsos codecs, que é instalada e aparecem avisos de infecções (que não existem, a não ser ela própria) e que induzem o usário a instalar falsos anti spywares (rogues), como o SpySheriff, BraveSentry, SpyLocked, Spyaxe, VirusBursters, AntiVermins, etc. O seu objetivo final, é que o usuário pague para remover o que não existe.

Geralmente, o internauta entra em um site adulto e tenta ver um dos vídeos oferecidos, mas então, uma janela de abre, dizendo que o Windows Media Player não pode rodar o vídeo, sendo necessária a instalação de um Codec ou um Video ActiveX Object que, eles gratuitamente oferecem. Ao aceitar, a armadilha se fecha:

/applications/core/interface/imageproxy/imageproxy.php?img=http://img522.imageshack.us/img522/1347/wmpcannotplaysunbelteo3.jpg&key=8a737c3239f34a705414570c16dd8974911e02ee2f64e7fb56129e15d9ce8fdf" alt="wmpcannotplaysunbelteo3.jpg" />

/applications/core/interface/imageproxy/imageproxy.php?img=http://img508.imageshack.us/img508/2168/wmpcannotplay2sunbeltlb1.jpg&key=0b7cbf1e8a735ac75175ea1ba9544334546d778c5904f9c81bf0f95d5682463b" alt="wmpcannotplay2sunbeltlb1.jpg" />

Imagens de falsos codecs:

/applications/core/interface/imageproxy/imageproxy.php?img=http://img508.imageshack.us/img508/1073/iaxobjectsunbeltvb1.jpg&key=467ac75bbf8b18c74261256dc3323eb4ece1a94f97041e6b7a57fe471d819096" alt="iaxobjectsunbeltvb1.jpg" />

/applications/core/interface/imageproxy/imageproxy.php?img=http://img407.imageshack.us/img407/3397/dvdaccesssunbeltuu4.jpg&key=7a1b66694526d609d262953c9f9f9682c64eab5205bb5668bcfd1df657e44495" alt="dvdaccesssunbeltuu4.jpg" />

/applications/core/interface/imageproxy/imageproxy.php?img=http://img526.imageshack.us/img526/9056/silvercodecsunbeltsa9.jpg&key=98eafdaadfe28c0bcd90788a04a50eb707e2444f588a457b1479ab7cdf13ebff" alt="silvercodecsunbeltsa9.jpg" />

Os falsos codecs precisam ser instalados e isso é decidido pelo usuário, que na maioria das vezes, não percebe o risco que corre ao fazer isso. A instalação:

/applications/core/interface/imageproxy/imageproxy.php?img=http://img526.imageshack.us/img526/7971/instcodecsunbeltrt0.jpg&key=8f0ffd82358d54764424823f5e5bbf45460fbd857b0727e1229ed26ef3083a57" alt="instcodecsunbeltrt0.jpg" />

Após a instalação deste falso codec em questão, o usuário passará a receber pop-ups da Seekmo, adware da Zango (180Solutions).

/applications/core/interface/imageproxy/imageproxy.php?img=http://img407.imageshack.us/img407/612/seekmopopupsunbeltof3.jpg&key=cb37c155d9d5c9002123ae446358e64a443df30b69d8e7fd3f3ad7562bfd52d5" alt="seekmopopupsunbeltof3.jpg" />

Em outro exemplo, a instalação de um codec, também instalou a infecção pelo smitfraud e o usuário passará a receber os alertas de infecções, como no exemplo abaixo:

/applications/core/interface/imageproxy/imageproxy.php?img=http://img299.imageshack.us/img299/4883/trayalertsunbeltrt5.jpg&key=821ff56903e28da34754f9ed598d1e1b9656b04f4159412d82ce3e5b5236fabf" alt="trayalertsunbeltrt5.jpg" />

Assim, a melhor forma de evitar a armadilha dos falsos codecs é, instalando-os sempre em sites confiáveis.

Como exemplo, se precisar de um codec para DivX, vá no site do desenvolvedor ( http://www.divx.com/ ) e instale-o lá.

Artigo baseado nas investigações de Patrick Jordan e Alex Eckelberry da Sunbelt Software ( http://www.sunbelt-software.com ). Todas as imagens foram também obtidas pela Sunbelt-Software.