3wPlayer
O 3wPlayer é um falso player incorporado com cavalos de tróia que infectam computadores correndo o sistema operativo Microsoft Windows. Está desenhado para explorar utilizadores que descarregam ficheiros de vídeo, apresentando instruções que indicam como descarregar e instalar este player, necessário para ver o vídeo. O 3wPlayer emprega uma forma de social engineering para infectar computadores. Ficheiros de vídeo atractivos para os utilizadores, como filmes recentes, são publicados via BitTorrent ou outros canais de distribuição. Estes ficheiros parecem-se com ficheiros AVI convencionais, mas estão desenhados de forma a mostrar uma mensagem na maioria dos players, que dão instruções ao utilizador sobre como visitar o site do 3wPlayer e descarregá-lo para ver o vídeo.
O 3wPlayer está infectado com a ameaça Trojan.Win32.Obfuscated.en.[1] Segundo a Symantec, o 3wPlayer pode descarregar uma infecção chamada Adware.Lop,[2] que adiciona uma barra de ferramentas e um botão de pesquisa ao Internet Explorer.
Um script em Perl publicado online afirma que consegue desencriptar os ficheiros 3wPlayer e torná-los en ficheiros AVI.[3] O script foi testado e obteve diversos resultados, já que na maior parte dos casos, o ficheiro AVI raramente é o desejado.
Foi também descoberto que os ficheiros AVI falsos são monitorizados pela Motion Picture Association of America, uma associação AntiP2P.[3]
Clones
[editar | editar código-fonte]Existem alguns clones do 3wPlayer:
DivoCodec e X3Codec
[editar | editar código-fonte]O DivoCodec ou Divo Codec / X3Codec foi também identificado como um trojan semelhante ao 3wPlayer. Os utilizadores são incentivados a descarregar o codec para poderem ver um ficheiro AVI.
Em vez de serem codecs, DivoCodec instala malware no computador do utilizador. O DivoCodec é polimórfico e pode alterar a sua estrutura. Também se sabe que este codec realiza process hijacking, escrevendo na memória virtual de outras aplicações.
DomPlayer
[editar | editar código-fonte]O DomPlayer é semelhante ao DivoCodec e ao 3wPlayer. Os utilizadores também são incentivados a descarregar o player para verem um ficheiro AVI.
Com o DivoCodec, os ficheiros AVI falsos são facilmente identificados devido à duração do ficheiro, normalmente de 10 a 15 segundos, pelo que um utilizador pode concluir que não existe nenhum filme ou série de TV contida nele. Contudo, nem sempre é este o caso, devido a que muitos distribuidores começaram recentemente a falsificar a meta data dos ficheiros de modo a que estes mostrem uma duração e um tamanho normal.
DomPlayer
x3 Player
[editar | editar código-fonte]O x3 Player é semelhante ao DomPlayer, e dá instruções aos utilizadores sobre como descarregar este player para poder ver o ficheiro AVI.