Vorgebliche Video-Codecs sind eine der häufigsten Ursachen für Malware-Infektionen. Die enthaltenen Schädlinge installieren auch noch betrügerische Anti-Spyware-Programme, die bestenfalls nutzlos und nervig sind.
Wer bei dem Versuch ein Video im Web anzuschauen eine Meldung erhält, er müsse zu diesem Zweck einen fehlenden Video-Codec nachinstallieren, ist auf dem besten Weg seinen Rechner mit Malware zu infizieren. Falsche, also vorgebliche Video-Codecs aus der Zlob-Familie sind ein klassisches Beispiel für Trojanische Pferde. Sie geben vor etwas zu sein, was sie nicht sind und öffnen dem Feind die Tür.
In den Top-10-Listen auf Microsofts Sicherheitsportal sind die Zlob-Schädlinge gleich mehrfach vertreten. Sie gehören zu den häufigsten von Microsofts Malware Removal Tool entdeckten Schädlingen auf Windows-Rechnern. In letzter Zeit zielen die Macher dieser Trojanischen Pferde zudem auch auf Mac-Nutzer, für die sie eine spezielle Mac-Variante ihres DNS-Changers bereit halten.
Sie geben sich auch nicht damit zufrieden durch Manipulation der DNS-Einstellungen Web-Aufrufe auf andere Seiten umzuleiten. Wie Alex Eckelberry von Sunbelt berichtet , installieren die Windows-Versionen von Zlob auch vorgebliche Anti-Spyware, die mit falschen Alarmmeldungen nerven und betroffene Anwender zum Kauf einer Vollversion der nutzlosen Software nötigen.
Die Gefahr lauert keineswegs immer nur auf Seiten, die Porno-Videos anbieten (oder dies zumindest vortäuschen). Die Download-Links für die Zlob-"Codecs" finden sich auch auf diversen anderen Seiten mit unverfänglicheren Inhalten. Außerdem setzen die Malware-Verbreiter mittlerweile auch auf Drive-by-Downloads, also auf die Javascript-gesteuerte Ausnutzung von Sicherheitslücken, um ihre Machwerke unbemerkt einzuschleusen.
Jeder Aufruf eines solchen Download-Links kann zu einer neuen, geringfügig modifizierten Zlob-Variante führen. Dadurch wird die Erkennung für Antivirus-Programme erheblich erschwert, was sich auch im Ergebnis einer Stichprobe nieder schlägt. Die Erkennung der Mac-Variante ist noch schlechter, obwohl diese nicht ständig variiert wird.
|
Zlob (Windows)
|
DNS-Changer (Mac)
|
|
|---|---|---|
|
AntiVir
|
TR/Dldr.Zlob.NMO
|
---
|
|
Avast!
|
---
|
---
|
|
Downloader.Zlob.KF (Trojan horse)
|
---
|
|
|
Trojan.Zlob.AQ
|
---
|
|
|
ClamAV
|
---
|
---
|
|
Command AV
|
---
|
---
|
|
Dr Web
|
---
|
---
|
|
eSafe
|
---
|
---
|
|
eTrust
|
---
|
---
|
|
Ewido
|
---
|
---
|
|
F-Prot
|
---
|
---
|
|
---
|
---
|
|
|
Fortinet
|
Zlob.AFG!tr
|
---
|
|
Ikarus
|
Win32.DnsChanger.MP
|
---
|
|
Kaspersky
|
---
|
---
|
|
---
|
OSX/Puper
|
|
|
TrojanDownloader:Win32/Zlob
|
---
|
|
|
Nod32
|
---
|
---
|
|
Norman
|
---
|
---
|
|
Panda
|
Adware/EZVideo
|
---
|
|
QuickHeal
|
---
|
---
|
|
Rising AV
|
---
|
---
|
|
Sophos
|
Troj/Zlob-AFG
|
---
|
|
Sunbelt
|
Trojan.DNSChanger
|
---
|
|
---
|
---
|
|
|
Trend Micro
|
ADW_EZVIDEO.A
|
OSX_DNSCHAN.A
|
|
VBA32
|
---
|
---
|
|
VirusBuster
|
---
|
---
|
|
WebWasher
|
Trojan.Dldr.Zlob.NMO
|
---
|
|
A-Squared
|
---
|
---
|
|
Spybot S&D
|
Worldsecurityonline.FakeAlert,,Executable
|
---
|
|
GData AVK 2007 *
|
---
|
---
|
Quelle: AV-Test (
http://www.av-test.de
), Stand: 05.11.2007, 14:30 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast