Saltar para o conteúdo

3wPlayer

Origem: Wikipédia, a enciclopédia livre.
Mensagem de ficheiros AVI falsos indicando que estes só podem ser exibidos se o utilizador descarregar o 3wPlayer.

O 3wPlayer é um falso player incorporado com cavalos de tróia que infectam computadores correndo o sistema operativo Microsoft Windows. Está desenhado para explorar utilizadores que descarregam ficheiros de vídeo, apresentando instruções que indicam como descarregar e instalar este player, necessário para ver o vídeo. O 3wPlayer emprega uma forma de social engineering para infectar computadores. Ficheiros de vídeo atractivos para os utilizadores, como filmes recentes, são publicados via BitTorrent ou outros canais de distribuição. Estes ficheiros parecem-se com ficheiros AVI convencionais, mas estão desenhados de forma a mostrar uma mensagem na maioria dos players, que dão instruções ao utilizador sobre como visitar o site do 3wPlayer e descarregá-lo para ver o vídeo.

O 3wPlayer está infectado com a ameaça Trojan.Win32.Obfuscated.en.[1] Segundo a Symantec, o 3wPlayer pode descarregar uma infecção chamada Adware.Lop,[2] que adiciona uma barra de ferramentas e um botão de pesquisa ao Internet Explorer.

Um script em Perl publicado online afirma que consegue desencriptar os ficheiros 3wPlayer e torná-los en ficheiros AVI.[3] O script foi testado e obteve diversos resultados, já que na maior parte dos casos, o ficheiro AVI raramente é o desejado.

Foi também descoberto que os ficheiros AVI falsos são monitorizados pela Motion Picture Association of America, uma associação AntiP2P.[3]

Existem alguns clones do 3wPlayer:

DivoCodec e X3Codec

[editar | editar código-fonte]

O DivoCodec ou Divo Codec / X3Codec foi também identificado como um trojan semelhante ao 3wPlayer. Os utilizadores são incentivados a descarregar o codec para poderem ver um ficheiro AVI.

Em vez de serem codecs, DivoCodec instala malware no computador do utilizador. O DivoCodec é polimórfico e pode alterar a sua estrutura. Também se sabe que este codec realiza process hijacking, escrevendo na memória virtual de outras aplicações.

O DomPlayer é semelhante ao DivoCodec e ao 3wPlayer. Os utilizadores também são incentivados a descarregar o player para verem um ficheiro AVI.

Com o DivoCodec, os ficheiros AVI falsos são facilmente identificados devido à duração do ficheiro, normalmente de 10 a 15 segundos, pelo que um utilizador pode concluir que não existe nenhum filme ou série de TV contida nele. Contudo, nem sempre é este o caso, devido a que muitos distribuidores começaram recentemente a falsificar a meta data dos ficheiros de modo a que estes mostrem uma duração e um tamanho normal.

DomPlayer

O x3 Player é semelhante ao DomPlayer, e dá instruções aos utilizadores sobre como descarregar este player para poder ver o ficheiro AVI.

Referências

  1. [1]
  2. [2]
  3. a b «Cópia arquivada». Consultado em 31 de julho de 2010. Arquivado do original em 26 de maio de 2008