DC++ – Nou Codec Fals solicitat de Filmele descarcate ilegal

Cu ceva vreme in urma va atentionam cu privire la filmele descarcate ilegal de pe DC++ (si probabil torrente).
Multe dintre ele solicita un asa-zis codec aditional pentru vizionarea continutului video.

Ei bine, a aparut o noua infectie de acest tip, si daca data trecuta detectia ei era mare pe virustotal.com, acum este ingrijorator de mica (9 din 41 de antivirusi)

Pe scurt, la pornirea filmului apare o fereastra de tipul celei de mai jos care spune:

codec fals filme dc++

Media Usage Rights Aquisition
The Video\File you have downloaded needs additional codec. Install free codec to watch the Video.
License.v.3.1.50.exe
File size: 63.5 kb
100% checked by Anti Virus

Windows Media Digital Rights Management (DRM) 2009 Microsoft Corporation. All rights reserved.

In continuare, Windows Media Player afiseaza site-ul de unde se descarca codec-ul: hxtp://free-license.imgpop.com/132.php si atentionarea privind posibilitatea continutului indoielnic al site-ului. Si la urma urmei, voua chiar va suna legitim un astfel de site ?!
Fisierul descarcat de acolo are denumirea: License.v.3.Setup.exe

Daca totusi descarcati virusul… pardon codecul (de fapt sunt sinonime cele doua cuvinte in acest caz) si-l rulati se va instala un Backdoor ce creeaza doua copii in locatiile:
%Temp%\A.tmp
%System%\spool\prtprocs\w32x86\1.tmp

De asemenea va crea si cheia registry: HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates\F77A3F82B7C4B3A9D869A93E3335CF1F78BC441E
In final va initia conexiuni spre 3 IP-uri (dintre care unul apartine Microsoft, primul este din America, iar ultimul din Olanda): 64.211.162.137:80, 65.55.21.25:80, 94.228.209.143:443


Pentru a scapa de virus folositi pentru DEVIRUSARE unul din cele doua programe de mai jos:

Descarcati Dr.Web CureIT sau Kaspersky Removal Tool si scanati complet PC-ul stergand infectiile gasite.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

3 responses to “DC++ – Nou Codec Fals solicitat de Filmele descarcate ilegal”

  1. Fane

    stai ca nu prea inteleg, cui si la ce ii pot folosi conexiunile de care vorbesti in finalul articolului?

  2. Florin

    Fane,conexiunile acelea sunt scrise ca sa stii ca sunt infectate respectivele adrese IP ,iar cele doua programe sunt pentru a scapa de infectie,ai inteles acum?

  3. dezordonat

    am gasit acest cheia registry: HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates\F77A3F82B7C4B3A9D869A93E3335CF1F78BC441E dar nu si acestea:%Temp%\A.tmp
    si %System%\spool\prtprocs\w32×86\1.tmp. am folosit cele doua programe si nu mi-a gasit nimic … folosesc windows 7. nu stiu de unde a aparut cheia registry.

Leave a Reply