Per gentile concessione di Tweakness.net

Downloader-UA.h non è un Trojan classico, il codice nocivo infatti sfrutta file musicali e video fasulli associati al sito fastmp3player.com, per diffondersi tra i computer delle vittime.

Dal Avert Labs Blog di McAfee : " Quando un utente tenta di caricare uno di questi file MP3 o MPG, non ottiene la musica o il video desiderato; al contrario viene indirizzato a scaricare un file chiamato PLAY_MP3.exe. Infatti, il file MP3/MPG scaricato risulta completamente fasullo, e non viene eseguita alcuna riproduzione di clip multimediali in alcun modo ".

McAfee ha pubblicato un lista d'esempio per i nomi dei file fasulli finora identificati in rete, evidenziando che molti altri nomi file stanno sicuramente circolando nelle reti P2P. Le dimensioni di questi file variano, in quanto sono state modificate e azzerate a livello di codice.

Se gli utenti accettano di scaricare ed eseguire PLAY_MP3.exe (rilevato come Generic PUP.a da McAfee) viene mostrata un EULA, che specifica che il materiale in licenza da installare include prodotti software 3rd Party (come Mirar). Se l'utente accetta il contratto di licenza e sceglie di procedere, come descritto nell'EULA, vengono installati nel sistema i software adware "FBrowsingAdvisor" e "SurfingEnhancer".

Viene inoltre installato il file PlayMP3.exe da PlayMP3z.biz, un semplice controllo browser reso eseguibile che non si occupa di riprodurre file MP3 locali, piuttosto di caricare una pagina web che esegue il player Wimpy MP3 Flash. Questa pagine permette all'utente di riprodurre una selezione pre-registrata di una ventina di brani musicali.

Dal Avert Labs Blog di McAfee : " Alla fine vi resta un file MP3 fasullo che occupa spazio, un player MP3 inutile, software adware che afferma non solo di non mostrate pop-up , ma addirittura di bloccarli, e altri adware che mostrano con successo pubblicità in pop-up e pop-under ".