251937

Adware-Download über Windows Media Player

30.04.2008 | 15:37 Uhr |

Über Scripte in ASF-Dateien können auch aktuelle Versionen des Windows Media Player dazu gebracht werden beliebige Dateien, etwa auch Malware oder Adware, aus dem Internet zu laden.

Eine von Microsoft dokumentierte Funktionalität in ASF-Dateien erlaubt den Download beliebiger Dateien aus dem Internet. Dies wird durch die Implementierung einfacher Script-Befehle ermöglicht, die der Windows Media Player ausführt, wenn eine solche ASF-Datei geladen wird. Das Internet Storm Center berichtet über einen Fall , in dem auf diese Weise Adware herunter geladen wird.

Das eingebettete HTML-Script veranlasst den Media Player eine Instanz des Internet Explorer zu starten und letztlich eine Datei namens PLAY_MP3.EXE (knapp 100 KB) aus dem Internet zu laden. Gefährdet sind vor allen Benutzer neuerer Versionen des Windows Media Player. Nach Angabe von Microsoft im KB-Artikel 320944 ist diese Funktionalität in der Version 9 standardmäßig deaktiviert. Sie ist laut Microsoft unter anderem dazu eingeführt worden, um den Online-Erwerb von DRM-Lizenzen zu ermöglichen.

Die Ausführung von Script-Befehlen kann über den Registry-Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences deaktiviert werden. Setzen Sie dazu die Einträge "PlayerScriptCommandsEnabled", "WebScriptCommandsEnabled" und "URLAndExitCommandsEnabled" auf den Wert "0". Falls diese Einträge nicht vorhanden sind, legen Sie sie an. Wie immer bei Registry-Änderungen sollten Sie sehr vorsichtig sein und den jeweiligen Schlüssel vorher in eine REG-Datei sichern. Microsofts KB-Artikel enthält eine Anleitung, wie Sie dann eine passende REG-Datei anlegen können, um sie in die Registry zu importieren.

Erkennung der Adware-Datei durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir Premium

ADSPY/Agent.ZK.2

Avast!

Win32:Adware-gen [Adw]

AVG

Generic2.ACBM (Adware)

A-Squared

Adware.Win32.Agent.zk

Bitdefender

Adware.PlayMp3z.A

CA-AV

---

ClamAV

Adware.Downloader-82

Command AV

---

Dr Web

Trojan.Click.17232

eSafe

AdWare.Win32.Agent.z

Ewido

Not-A-Virus.Adware.Agent

F-Prot

---

F-Secure

---

Fortinet

Adware/PlayMP3Z

G-Data AVK

not-a-virus:AdWare.Win32.Agent.zk

Ikarus

not-a-virus:AdWare.Win32.Agent.zk

Kaspersky

not-a-virus:AdWare.Win32.Agent.zk

McAfee

Generic PUP.a (potentially unwanted program)

Microsoft

---

Nod32

Win32/Adware.PlayMP3Z (application)

Norman

W32/Agent.EFDB

Panda

Application/Playmp3z

QuickHeal

AdWare.Agent.zk (Not a Virus)

Rising AV

---

Sophos

PlayMP3z Installer (PUA)

Spybot S&D

---

Sunbelt

---

Symantec

---

Symantec (BETA)

Downloader.Trojan

Trend Micro

ADW_AGENT.FMG

VBA32

AdWare.Win32.Agent.zk

VirusBuster

---

WebWasher

Ad-Spyware.Agent.ZK.2

Quelle: AV-Test, Stand: 30.04.08, 12 Uhr

0 Kommentare zu diesem Artikel
251937