Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» Sophos Virus Removal Tool ( ... by Sophos.com )
Dom Maio 21, 2017 4:44 pm por joram

» 9-Lab Malware Removal Tool ( ... by 9-lab.com )
Sab Dez 31, 2016 4:24 am por joram

» SFCFix ( ... de niemiro )
Sab Dez 24, 2016 9:29 am por joram

» ResetBrowser ( ... de Nicolas Coolman )
Ter Maio 31, 2016 5:58 am por joram

» herdProtectScan ( ... by herdprotect.com )
Seg Mar 07, 2016 10:58 pm por joram

» Emsisoft Emergency Kit ( ... by Emsisoft.com )
Dom Fev 28, 2016 5:40 am por joram

» Dr.WEB Link Checker ( ... by Doctor Web.Ltd )
Qui Fev 11, 2016 9:51 am por joram

» Computador com erros no navegador
Sab Ago 29, 2015 8:04 pm por joram

» Justiça determina que PSafe retire alertas desleais
Qua Ago 19, 2015 6:58 am por joram

Maio 2017

SegTerQuaQuiSexSabDom
1234567
891011121314
15161718192021
22232425262728
293031    

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Cuidado com os falsos codecs!

    Compartilhe
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 611
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Cuidado com os falsos codecs!

    Mensagem por joram em Qua Out 31, 2012 2:57 pm

    Saudações!

    Cuidado com os falsos codecs que vem com softwares ou pacote de codecs,oriundos de sites suspeitos ou não credenciados para distribuir esses programas.O colega Sam Spade em sua proposição original,deparou-se com uma ocorrência que veio corroborar com seu artigo "Cuidado com os falsos codecs".
    #####
    2012-10-10 00:13 . 2012-06-09 17:21 178688 ----a-w- c:\windows\system32\unrar.dll
    2012-10-10 00:13 . 2012-10-10 00:14 -------- d-----w- c:\program files\K-Lite Codec Pack
    2012-10-10 00:13 . 2012-10-10 00:13 4872568 ----a-w- c:\users\Barão\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Barão.exe
    2012-10-10 00:13 . 2012-10-10 00:13 -------- d-----w- c:\program files\SystemCodec

    #####

    "A criação dos arquivos do hijacker está na hora exata da do K-Lite Codec Pack.

    Ele criou uma pasta que dizia ser de um codec e dentro tinha um falso codec, o fddshow.exe.

    HKLM\...\Run: [SystemCodec] "C:\Program Files\SystemCodec\fddshow.exe" [4872568 2012-10-09] ()

    Então já é outra pista que foi baixado com o Pack do K-Lite, pois é um pacote que tem diversos codecs e o malware quis se passar por um, para enganar e não levantar suspeitas.
    "

    |- Eis trecho do relatório da OTL e explicações de Sam Spade,que demonstra ser "fddshow.exe" falso codec.
    |- Digo que os criadores do arquivo malicioso tentou fazê-lo passar pelo ffdshow,que é legítimo. ( Filtro de decodificação DirectShow para descompressão de filmes DivX.. )

    |- Temos aqui,informações sobre fddshow,que pertence a BCD Travel Software e que não oferece maiores detalhes sobre seu arquivo.
    |- Segundo System Explorer,o arquivo é recente e não exibe nomes do produto e/ou companhia.
    |- Segundo Navegação Segura,da Google,o malware direciona navegadores ao startpins,que apresenta ação hijacker segundo alguns utilizadores.

    "O PC ta iniciando o firefox e o explorer com um tal de startpins e com isso as paginas estao dando problemas. O PC parece que ficou "louco" depois disso. Obrigado."
    (Duendebr)

    < R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1 >

    |- De fato!Pois ao executar fddshow.exe ele estabeleceu esta página inicial.

    ( .. by joram )

      Data/hora atual: Qua Maio 24, 2017 11:40 am