codec.exe est un faux codec qui télécharge et installe automatiquement le rogue XP-Police Antivirus. Il enregistre une BHO à ses cotés, et place encore quelques raccourcis internet que l'on retrouve aux cotés d'une autre infection: IEDef. Cette dernière installant le rogue IE-Security. Il serait facile d'établir visuellement un lien entre ces infections. En regardant de plus près, les soupçons se confirment.

La BHO enregistrée est nouvelle, bien que l'on retrouve des GUID d'Interface identiques avec d'autres malwares et un nom de fichier déja utilisé avec d'autres infections.

O2 - BHO: WinGDI Class - {12c7290a-157b-4f43-b109-97e792c598ed} - C:\WINDOWS\iehost.dll

Dans le code, on voit qu'elle contacte le site distant secured-software-order.com (216.240.151.135). Une IP où étaient enregistrés, il y a peu de temps encore, d'autres rogues liés à IEDef:

ie-security.com (216.240.151.135)
windefender2009.cn (216.240.151.135)

Sur le bureau, ce sont les raccourcis Internet (.URL) et leurs icônes qui font penser à l'infection IEDef.

Le code en Delphi, bien que compressé, montre le dropper enregistrer ces liens:

Le dropper contacte un site distant: loyaltube.com (206.125.44.28) pour confirmer l'installation et rémunérer les affiliés.