Jump to content

Archived

This topic is now archived and is closed to further replies.

DigRam

Cuidado com os falsos codecs!

Recommended Posts

Saudações!

 

Cuidado com os falsos codecs que vem com softwares ou pacote de codecs,oriundos de sites suspeitos ou não credenciados para distribuir esses programas.O colega Sam Spade em sua proposição original,deparou-se com uma ocorrência que veio corroborar com seu artigo "Cuidado com os falsos codecs".

######

2012-10-10 00:13 . 2012-06-09 17:21 178688 ----a-w- c:\windows\system32\unrar.dll

2012-10-10 00:13 . 2012-10-10 00:14 -------- d-----w- c:\program files\K-Lite Codec Pack

2012-10-10 00:13 . 2012-10-10 00:13 4872568 ----a-w- c:\users\Barão\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Barão.exe

2012-10-10 00:13 . 2012-10-10 00:13 -------- d-----w- c:\program files\SystemCodec

######

 

"A criação dos arquivos do hijacker está na hora exata da do K-Lite Codec Pack.

 

Ele criou uma pasta que dizia ser de um codec e dentro tinha um falso codec, o fddshow.exe.

 

HKLM\...\Run: [systemCodec] "C:\Program Files\SystemCodec\fddshow.exe" [4872568 2012-10-09] ()

 

Então já é outra pista que foi baixado com o Pack do K-Lite, pois é um pacote que tem diversos codecs e o malware quis se passar por um, para enganar e não levantar suspeitas."

 

|- Eis trecho do relatório da OTL e explicações de Sam Spade,que demonstra ser "fddshow.exe" falso codec.

|- Digo que os criadores do arquivo malicioso tentou fazê-lo passar pelo ffdshow,que é legítimo. ( Filtro de decodificação DirectShow para descompressão de filmes DivX.. )

 

|- Temos aqui,informações sobre fddshow,que pertence a BCD Travel Software e que não oferece maiores detalhes sobre seu arquivo.

|- Segundo System Explorer,o arquivo é recente e não exibe nome do produto e/ou companhia.

|- Segundo Navegação Segura,da Google,o malware direciona navegadores ao startpins,que apresenta ação hijacker segundo alguns utilizadores.

 

"O PC ta iniciando o firefox e o explorer com um tal de startpins e com isso as paginas estao dando problemas. O PC parece que ficou "louco" depois disso. Obrigado."

(Duendebr)

 

< R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 >

 

|- De fato!Pois ao executar fddshow.exe ele estabeleceu esta página inicial.

 

( ... by DigRam )

Share this post


Link to post
Share on other sites
Cuidado com os falsos codecs que vem com softwares ou pacote de codecs,oriundos de sites suspeitos ou não credenciados para distribuir esses programas.

 

Mais em sites como Baixaki e Superdownload temos que ter cuidado também? :thumbsup:

Share this post


Link to post
Share on other sites

Mais em sites como Baixaki e Superdownload temos que ter cuidado também? :thumbsup:/>/>

Olá Edvan.

 

|- Sim! Recomendo baixar daqui: < codecs.com >

 

|- Ou daqui: < XP Codeck Pack >

 

A+

Share this post


Link to post
Share on other sites

Hum, interessante!!.

 

Teve algumas maquinas aqui na empresa, pcs de amigos que estão reiniciando, talvez tenha sido algum falso codecs desses!!

Share this post


Link to post
Share on other sites

Hum, interessante!!.

 

Teve algumas maquinas aqui na empresa, pcs de amigos que estão reiniciando, talvez tenha sido algum falso codecs desses!!

Olá! Edvan

 

|- Parece que o problema está direcionado ao sequestro de navegadores e não à reboots.

 

A+

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.