Virenkiller.de

16. Juni 2008

Trojaner getarnt als Video-Codec

Category: Firewall,Phishing,Virenwarnung – virenkiller – 15:18

Video-Codecs nennt man eine Art Treiber, mit deren Hilfe man Videodateien ungewöhnlicher Formate auf seinem Player betrachten kann.

Ab uns zu wird man im Internet aufgefordert, doch vor dem Betrachten eines Filmcherns erst den passenden Code zu installieren.

Mit diesem Trick versucht es nun ein wirklich hinterhältiges Virusprogramm.

Trojaner biegt die DNS-Einstellungen des Routers um

So kann es passieren, dass man entweder einem Emaillink folgt oder durchs normale Surfen auf eine angeblich interessante Videodatei aufmerksam gemacht wird. Doch anstatt dort ein Video zu sehen, wird man zum Download eines Codec aufgefordert.

Dieser heißt dann zum Beispiel
red-codec.v.4.103.exe (174,523 Byte)

Antivir erkennt die Gefahr nicht, doch verschiedene andere Scanner schlagen Alarm!

Unter Namen wie DNSChanger.AE, Trojan.DNSChanger.TE, Trojan-Dropper.NSIS.Agent.c oder Troj/Zlobar-Fam erkennen sie allesamt einen Trojaner aus der ZLOB-Familie, der in der Lage ist, einen DSL-Router zu manipulieren.

Dadurch werden alle Routerabfragen dann an eine IP in der Ukraine geschickt, die Seitenaufrufe z.B. auf Phishingseiten umleiten kann.

Wichtig:
Ist das System einmal versaut, hilft kein Reinigen des Rechners. Der Router muss auf die Werkseinstellungen zurückgesetzt werden, um ihn zu reinigen!

 

Dazu ein Artikel bei PC Welt >>

Keine Codes ungeprüft installieren!

Videocodecs sind meist nicht sehr groß. Es spricht also nichts dagegen, sie erst einmal zu überprüfen. Sowieso sollte man sich überlegen, ob man jeden Codec braucht und installieren sollte… Wenn es sich um eine ungewöhnliches Format handelt, ist die Wahrscheinlichkeit gering, den Treiber noch einmal zu brauchen… also warum sollte man sich dieser Gefahr aussetzen?

Generell sollte man nur Codecs von der Herstellerseite bzw. vertrauenswürdigen Portalen downloaden – UND sie nochmal überprüfen.

Am 16.6.2008 ist die Gefahr relativ wenig bekannt.

Bei Jotti heißt es:

AVG Antivirus  DNSChanger.AE gefunden 
BitDefender  Trojan.DNSChanger.TE gefunden 
F-Secure Anti-Virus  Trojan-Dropper.NSIS.Agent.c gefunden 
Ikarus  Virus.Trojan.Win32.DNSChanger.chg gefunden 
Kaspersky Anti-Virus  Trojan-Dropper.NSIS.Agent.c gefunden 
Sophos Antivirus  Troj/Zlobar-Fam gefunden 

Und Virustotal vermeldet:

Avast 4.8.1195.0 2008.06.15 Win32:DNSChanger-VR
AVG 7.5.0.516 2008.06.15 DNSChanger.AE
BitDefender 7.2 2008.06.16 Trojan.DNSChanger.TE
Fortinet 3.14.0.0 2008.06.15 W32/DNSChanger.0513!tr
Ikarus T3.1.1.26.0 2008.06.16 Virus.Trojan.Win32.DNSChanger.chg
Kaspersky 7.0.0.125 2008.06.16 Trojan-Dropper.NSIS.Agent.c
Prevx1 V2 2008.06.16 Cloaked Malware
Sophos 4.30.0 2008.06.16 Troj/Zlobar-Fam
TheHacker 6.2.92.351 2008.06.16 Trojan/DNSChanger.chg

Update

Dank meiner Einsendung erkennt Antivir den Schädling seit 16.6.2008, 15:45 Uhr und hat ihm den Namen
DR/Drop.Nsis.Agent.C.17
gegeben.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen