A Trend Micro detectou no último mês de Setembro perto de 2.000 blogs alojados num serviço de publicação que continha iFrame maliciosas, de modo a redireccionar os utilizadores para sites pornográficos onde era descarregado um cavalo de tróia.

A clicar num dos vídeos surgia uma janela que solicitava aos internautas o download de um "codec", que permite o acesso quase ilimitado ao software de navegação, explica a Trend Micro num comunicado enviado à imprensa.

Os codec de vídeo são máscaras para código malicioso, como as variantes de ZLOB. Neste caso, o arquivo que se descarrega, se instala e se executa é um cavalo de Tróia identificado como TROJ_DROPPER.BX, descarregando um DLL malicioso, TROJ_BHO.EZ.

O TROJ_BHO.EZ é instalado como um Browser Helper Object (BHO) que se executa automaticamente em cada início de sessão. Os BHO são módulos DLL que oferecem funcionalidades adicionais ao Internet Explorer. Utilizados com propósitos maliciosos, estes módulos DLL permitem aceder e controlar a navegação de páginas abertas, usando as passwords dos utilizadores legítimos. Transformam-se essencialmente em plug-ins, salienta a Trend Micro.

Os cibercriminosos podem utilizar BHO para instalar barras de ferramentas que podem gravar a sequência de teclas.