102986

Falsche Video-Codecs installieren falsche Anti-Spyware

05.11.2007 | 16:02 Uhr |

Vorgebliche Video-Codecs sind eine der häufigsten Ursachen für Malware-Infektionen. Die enthaltenen Schädlinge installieren auch noch betrügerische Anti-Spyware-Programme, die bestenfalls nutzlos und nervig sind.

Wer bei dem Versuch ein Video im Web anzuschauen eine Meldung erhält, er müsse zu diesem Zweck einen fehlenden Video-Codec nachinstallieren, ist auf dem besten Weg seinen Rechner mit Malware zu infizieren. Falsche, also vorgebliche Video-Codecs aus der Zlob-Familie sind ein klassisches Beispiel für Trojanische Pferde. Sie geben vor etwas zu sein, was sie nicht sind und öffnen dem Feind die Tür.

In den Top-10-Listen auf Microsofts Sicherheitsportal sind die Zlob-Schädlinge gleich mehrfach vertreten. Sie gehören zu den häufigsten von Microsofts Malware Removal Tool entdeckten Schädlingen auf Windows-Rechnern. In letzter Zeit zielen die Macher dieser Trojanischen Pferde zudem auch auf Mac-Nutzer, für die sie eine spezielle Mac-Variante ihres DNS-Changers bereit halten.

Sie geben sich auch nicht damit zufrieden durch Manipulation der DNS-Einstellungen Web-Aufrufe auf andere Seiten umzuleiten. Wie Alex Eckelberry von Sunbelt berichtet , installieren die Windows-Versionen von Zlob auch vorgebliche Anti-Spyware, die mit falschen Alarmmeldungen nerven und betroffene Anwender zum Kauf einer Vollversion der nutzlosen Software nötigen.

Die Gefahr lauert keineswegs immer nur auf Seiten, die Porno-Videos anbieten (oder dies zumindest vortäuschen). Die Download-Links für die Zlob-"Codecs" finden sich auch auf diversen anderen Seiten mit unverfänglicheren Inhalten. Außerdem setzen die Malware-Verbreiter mittlerweile auch auf Drive-by-Downloads, also auf die Javascript-gesteuerte Ausnutzung von Sicherheitslücken, um ihre Machwerke unbemerkt einzuschleusen.

Jeder Aufruf eines solchen Download-Links kann zu einer neuen, geringfügig modifizierten Zlob-Variante führen. Dadurch wird die Erkennung für Antivirus-Programme erheblich erschwert, was sich auch im Ergebnis einer Stichprobe nieder schlägt. Die Erkennung der Mac-Variante ist noch schlechter, obwohl diese nicht ständig variiert wird.

Antivirus

Zlob (Windows)

DNS-Changer (Mac)

AntiVir

TR/Dldr.Zlob.NMO

---

Avast!

---

---

AVG

Downloader.Zlob.KF (Trojan horse)

---

Bitdefender

Trojan.Zlob.AQ

---

ClamAV

---

---

Command AV

---

---

Dr Web

---

---

eSafe

---

---

eTrust

---

---

Ewido

---

---

F-Prot

---

---

F-Secure

---

---

Fortinet

Zlob.AFG!tr

---

Ikarus

Win32.DnsChanger.MP

---

Kaspersky

---

---

McAfee

---

OSX/Puper

Microsoft

TrojanDownloader:Win32/Zlob

---

Nod32

---

---

Norman

---

---

Panda

Adware/EZVideo

---

QuickHeal

---

---

Rising AV

---

---

Sophos

Troj/Zlob-AFG

---

Sunbelt

Trojan.DNSChanger

---

Symantec

---

---

Trend Micro

ADW_EZVIDEO.A

OSX_DNSCHAN.A

VBA32

---

---

VirusBuster

---

---

WebWasher

Trojan.Dldr.Zlob.NMO

---

A-Squared

---

---

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

---

GData AVK 2007 *

---

---

Quelle: AV-Test ( http://www.av-test.de ), Stand: 05.11.2007, 14:30 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
102986