Ex und hopp
Adware-Download über Windows Media Player
Über Scripte in ASF-Dateien können auch aktuelle Versionen des Windows Media Player dazu gebracht werden beliebige Dateien, etwa auch Malware oder Adware, aus dem Internet zu laden.
Eine von Microsoft dokumentierte Funktionalität in ASF-Dateien erlaubt den Download beliebiger Dateien aus dem Internet. Dies wird durch die Implementierung einfacher Script-Befehle ermöglicht, die der Windows Media Player ausführt, wenn eine solche ASF-Datei geladen wird. Das Internet Storm Center berichtet über einen Fall, in dem auf diese Weise Adware herunter geladen wird.
Das eingebettete HTML-Script veranlasst den Media Player eine Instanz des Internet Explorer zu starten und letztlich eine Datei namens PLAY_MP3.EXE (knapp 100 KB) aus dem Internet zu laden. Gefährdet sind vor allen Benutzer neuerer Versionen des Windows Media Player. Nach Angabe von Microsoft im KB-Artikel 320944 ist diese Funktionalität in der Version 9 standardmäßig deaktiviert. Sie ist laut Microsoft unter anderem dazu eingeführt worden, um den Online-Erwerb von DRM-Lizenzen zu ermöglichen.
Die Ausführung von Script-Befehlen kann über den Registry-Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences deaktiviert werden. Setzen Sie dazu die Einträge "PlayerScriptCommandsEnabled", "WebScriptCommandsEnabled" und "URLAndExitCommandsEnabled" auf den Wert "0". Falls diese Einträge nicht vorhanden sind, legen Sie sie an. Wie immer bei Registry-Änderungen sollten Sie sehr vorsichtig sein und den jeweiligen Schlüssel vorher in eine REG-Datei sichern. Microsofts KB-Artikel enthält eine Anleitung, wie Sie dann eine passende REG-Datei anlegen können, um sie in die Registry zu importieren.
Erkennung der Adware-Datei durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir Premium | ADSPY/Agent.ZK.2 |
| Avast! | Win32:Adware-gen [Adw] |
| AVG | Generic2.ACBM (Adware) |
| A-Squared | Adware.Win32.Agent.zk |
| Bitdefender | Adware.PlayMp3z.A |
| CA-AV | --- |
| ClamAV | Adware.Downloader-82 |
| Command AV | --- |
| Dr Web | Trojan.Click.17232 |
| eSafe | AdWare.Win32.Agent.z |
| Ewido | Not-A-Virus.Adware.Agent |
| F-Prot | --- |
| F-Secure | --- |
| Fortinet | Adware/PlayMP3Z |
| G-Data AVK | not-a-virus:AdWare.Win32.Agent.zk |
| Ikarus | not-a-virus:AdWare.Win32.Agent.zk |
| Kaspersky | not-a-virus:AdWare.Win32.Agent.zk |
| McAfee | Generic PUP.a (potentially unwanted program) |
| Microsoft | --- |
| Nod32 | Win32/Adware.PlayMP3Z (application) |
| Norman | W32/Agent.EFDB |
| Panda | Application/Playmp3z |
| QuickHeal | AdWare.Agent.zk (Not a Virus) |
| Rising AV | --- |
| Sophos | PlayMP3z Installer (PUA) |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | --- |
| Symantec (BETA) | Downloader.Trojan |
| Trend Micro | ADW_AGENT.FMG |
| VBA32 | AdWare.Win32.Agent.zk |
| VirusBuster | --- |
| WebWasher | Ad-Spyware.Agent.ZK.2 |
Quelle: AV-Test, Stand: 30.04.08, 12 Uhr
