WINDOWS MEDIA PLAYER e Malware/Trojan (nuovo?)

Contemax59 · 13-06-2008, 18:59

Ieri sul mio sistema XP SP3, ho avviato come sempre Media Player (11) che mi ha presentato immediatamente la finestra di non riconoscimento del formato (mp3) (!).

Mi è sembrato strano lì x lì sono andato avanti e la riproduzione è iniziata. Peccato che dopo 10 secondi si è interrotta ed è partito Iexplore (v.7) puntando ad un sito sconosciuto "www.flashcodec.com" con la conseguente richiesta di download del codec; ovviamente non l'ho fatto, ho annullato e sono ripartito di nuovo con un altro MP3 ottenendo lo stesso risultato: apertura di Iexplorer dopo 10 secondi di esecuzione.

Morale: qualsiasi MP3 esegua, dopo 10 secondi parte IExploer col risultato che è impossibile ascoltare qualsiasi MP3.

Questa cosa mi ha innervosito parecchio non fosse per il fatto che mi ero ripromesso di sistemare i miei archivi MP3. Operazione che adesso non posso eseguire.
Oggi con calma mi sono messo ad indagare su questa anomalia ed ho scoperto che all'avvio della sessione di IExplore, il brower punta a questi indirizzi (cronologicamente):

1) 58.65.234.165
2) 203.117.111.47
3) esegue la connessione a www.flashcodec.com e richiesta di download

Se la connessione non è attiva, presenta questo indirizzo (senza visualizzarlo):
4) http://svbr.net

Con un analizzatore di processi ho scoperto che la stringa di avvio di Windows Media Player originalmente impostata su:

"C:\Programmi\Windows Media Player\wmplayer.exe" /prefetch:1

al termine dei 10 secondi viene modificata in:
"C:\Programmi\Windows Media Player\wmplayer.exe" /prefetch:6 /SHELLHLP_V9 Play /DataObject:NEFEPEHFBAAAAAAAOABAAAAAAAAAAAAAAMAAAAAAAAAAAAGEAAAAAAAAFAAAAAAAEMJBPOBLOMAOCMIGHNKJOANHCIGGNIBDLAANAAAAAEHAEHHAJJIKAHJDMKJBNDPBAAAAAAAA

Dalle prove che ho fatto, qualsiasi lettore una volta installato subisce l'effetto di questo malware/trojan che di fatto, non lo fa funzionare x più di 10 secondi.

Sulla rete ho trovato solo un caso (di ieri) come il mio ma ancora senza soluzione:
http://www.technologyquestions.com/t...ing-virus.html

Che ne pensate?
Max

P.s.: ovviamente ho provato tutti gli anti-spyware del pianeta inclusi prodotti antivirus (Avast!, NOD32, Kaspersky etc..) ed ammennicoli. Nulla è stato rilevato.....mah!

Nicodemo Timoteo Taddeo · 13-06-2008, 19:59

Il tuo computer è chiaramente infetto da qualche forma di malware. Ti conviene postare nella sottosezione "Aiuto sono infetto" della sezione Antivirus e sicurezza.

Inoltre sarebbe buona norma non rendere clicckabili i link di siti sospetti, e nel caso di flashcodec è ben più che un sospetto. Modificando l'URL, ad esempio come : vvv.flashcodec.com, oppure www(punto)flashcodec(punto)com

Saluti.

Contemax59 · 13-06-2008, 20:28

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Ti conviene postare nella sottosezione "Aiuto sono infetto" della sezione Antivirus e sicurezza.

Inoltre sarebbe buona norma non rendere clicckabili i link di siti sospetti, e nel caso di flashcodec è ben più che un sospetto. Modificando l'URL, ad esempio come : vvv.flashcodec.com, oppure www(punto)flashcodec(punto)com

Saluti.

Grazie per i consigli che sono sempre ben accetti!.

Ho postato nella sezione corretta ed ho cambiato i link.

Max

13-06-2008, 18:59	#1
Contemax59 Senior Member Iscritto dal: Jun 2008 Città: San Clemente (RN) Messaggi: 1961	WINDOWS MEDIA PLAYER e Malware/Trojan (nuovo?) Ieri sul mio sistema XP SP3, ho avviato come sempre Media Player (11) che mi ha presentato immediatamente la finestra di non riconoscimento del formato (mp3) (!). Mi è sembrato strano lì x lì sono andato avanti e la riproduzione è iniziata. Peccato che dopo 10 secondi si è interrotta ed è partito Iexplore (v.7) puntando ad un sito sconosciuto "www.flashcodec.com" con la conseguente richiesta di download del codec; ovviamente non l'ho fatto, ho annullato e sono ripartito di nuovo con un altro MP3 ottenendo lo stesso risultato: apertura di Iexplorer dopo 10 secondi di esecuzione. Morale: qualsiasi MP3 esegua, dopo 10 secondi parte IExploer col risultato che è impossibile ascoltare qualsiasi MP3. Questa cosa mi ha innervosito parecchio non fosse per il fatto che mi ero ripromesso di sistemare i miei archivi MP3. Operazione che adesso non posso eseguire. Oggi con calma mi sono messo ad indagare su questa anomalia ed ho scoperto che all'avvio della sessione di IExplore, il brower punta a questi indirizzi (cronologicamente): 1) 58.65.234.165 2) 203.117.111.47 3) esegue la connessione a www.flashcodec.com e richiesta di download Se la connessione non è attiva, presenta questo indirizzo (senza visualizzarlo): 4) http://svbr.net Con un analizzatore di processi ho scoperto che la stringa di avvio di Windows Media Player originalmente impostata su: "C:\Programmi\Windows Media Player\wmplayer.exe" /prefetch:1 al termine dei 10 secondi viene modificata in: "C:\Programmi\Windows Media Player\wmplayer.exe" /prefetch:6 /SHELLHLP_V9 Play /DataObject:NEFEPEHFBAAAAAAAOABAAAAAAAAAAAAAAMAAAAAAAAAAAAGEAAAAAAAAFAAAAAAAEMJBPOBLOMAOCMIGHNKJOANHCIGGNIBDLAANAAAAAEHAEHHAJJIKAHJDMKJBNDPBAAAAAAAA Dalle prove che ho fatto, qualsiasi lettore una volta installato subisce l'effetto di questo malware/trojan che di fatto, non lo fa funzionare x più di 10 secondi. Sulla rete ho trovato solo un caso (di ieri) come il mio ma ancora senza soluzione: http://www.technologyquestions.com/t...ing-virus.html Che ne pensate? Max P.s.: ovviamente ho provato tutti gli anti-spyware del pianeta inclusi prodotti antivirus (Avast!, NOD32, Kaspersky etc..) ed ammennicoli. Nulla è stato rilevato.....mah!

13-06-2008, 19:59	#2
Nicodemo Timoteo Taddeo Senior Member Iscritto dal: Mar 2008 Messaggi: 19839	Il tuo computer è chiaramente infetto da qualche forma di malware. Ti conviene postare nella sottosezione "Aiuto sono infetto" della sezione Antivirus e sicurezza. Inoltre sarebbe buona norma non rendere clicckabili i link di siti sospetti, e nel caso di flashcodec è ben più che un sospetto. Modificando l'URL, ad esempio come : vvv.flashcodec.com, oppure www(punto)flashcodec(punto)com Saluti.

Strumenti
Mostra una versione stampabile Invia questa pagina per email