187778

Malware statt Video Codec

05.09.2006 | 15:03 Uhr |

Eine vorgebliche Video-Software verspricht bessere Klang- und Bildqualität, installiert jedoch unter anderem ein Rootkit.

Ein Trojanisches Pferd ist der Definition nach ein Programm, das sich als etwas anderes ausgibt als es ist. Dieses Kriterium erfüllt "ZCodec" ohne Einschränkung. Es wird als kostenloser Video Codec angeboten, installiert jedoch tatsächlich Malware, wie der spanische Antivirus-Hersteller Panda Software meldet.

Bereits im Februar dieses Jahres wurde mit einem ähnlichen Trick ein vorgebliches Anti-Spyware-Programm verbreitet ( wir berichteten ). Das aktuelle, von Panda als " Adware/ZCodec " bezeichnete Programm ist 95 KB groß und wird unter dem Dateinamen "ZCodec1000.exe" auf einer eigenen Website angeboten. Es soll vorgeblich sowohl die Bild- als auch die Tonqualität von Videos verbessern.

Tatsächlich verändert es jedoch die DNS-Einstellungen des Rechners, sodass andere Name-Server abgefragt werden. Damit können Aufrufe bestimmter Websites auf fremde Web-Server umgeleitet werden, während in der Adresszeile die korrekte URL angezeigt wird. Auf diese Weise könnten etwa Suchmaschinenergebnisse manipuliert oder der Aufruf von Antivirus-Websites verhindert werden.

Außerdem legt ZCodec eine EXE-Datei mit zufälligem Namen an, die in den Internet Explorer eingreift, wenn dieser benutzt wird. Das Programm überwacht die Aufrufe bestimmter Websites, namentlich solcher "für Erwachsene". Mutmaßlich soll es die Zugangsdaten für diese Websites ausspionieren.

Ferner ruft ZCodec eine bestimmte IP-Adresse auf und lädt scheinbar zufällig eine der dort verfügbaren Programmdateien herunter. Dabei kann es sich zum Beispiel um das Trojaische Pferd "Ruins.MB" handeln, das seinerseits zur Tarnung ein Rootkit installiert. Zur Auswahl steht zudem eine Software für ein Online-Casino, die ZCodec installieren kann.

Erkennung der Datei "ZCodec1000.exe" durch Antivirus-Software :

Antivirus

Malware-Name

AntiVir

TR/Drop.Zlob.acn

Avast!

---

AVG

Downloader.Zlob.DEZ (Trojan horse)

BitDefender

---

ClamAV

---

Command

---

Dr Web

---

eSafe

Win32.Zlob.acn

eTrust-INO

---

eTrust-VET

---

Ewido

---

F-Prot

---

F-Secure

Trojan-Downloader.Win32.Zlob.agz

Fortinet

---

Ikarus

---

Kaspersky

Trojan-Downloader.Win32.Zlob.agz

McAfee

---

Microsoft

---

Nod32

---

Norman

---

Panda

---

QuickHeal

---

Sophos

---

Symantec

---

Trend Micro

---

UNA

---

VBA32

Trojan-Downloader.Win32.Zlob.agz

VirusBuster

Trojan.DR.Zlob.ZG

WebWasher

Trojan.Drop.Zlob.acn

GData AVK *

Trojan-Downloader.Win32.Zlob.agz


Quelle: AV-Test , Stand: 05.09.06, 11:30 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

0 Kommentare zu diesem Artikel
187778