Virenkiller.de

16. Juni 2008

Trojaner getarnt als Video-Codec

Category: Firewall,Phishing,Virenwarnung – virenkiller – 15:18

Video-Codecs nennt man eine Art Treiber, mit deren Hilfe man Videodateien ungewöhnlicher Formate auf seinem Player betrachten kann.

Ab uns zu wird man im Internet aufgefordert, doch vor dem Betrachten eines Filmcherns erst den passenden Code zu installieren.

Mit diesem Trick versucht es nun ein wirklich hinterhältiges Virusprogramm.

Trojaner biegt die DNS-Einstellungen des Routers um

So kann es passieren, dass man entweder einem Emaillink folgt oder durchs normale Surfen auf eine angeblich interessante Videodatei aufmerksam gemacht wird. Doch anstatt dort ein Video zu sehen, wird man zum Download eines Codec aufgefordert.

Dieser heißt dann zum Beispiel
red-codec.v.4.103.exe (174,523 Byte)

Antivir erkennt die Gefahr nicht, doch verschiedene andere Scanner schlagen Alarm!

Unter Namen wie DNSChanger.AE, Trojan.DNSChanger.TE, Trojan-Dropper.NSIS.Agent.c oder Troj/Zlobar-Fam erkennen sie allesamt einen Trojaner aus der ZLOB-Familie, der in der Lage ist, einen DSL-Router zu manipulieren.

Dadurch werden alle Routerabfragen dann an eine IP in der Ukraine geschickt, die Seitenaufrufe z.B. auf Phishingseiten umleiten kann.

Wichtig:
Ist das System einmal versaut, hilft kein Reinigen des Rechners. Der Router muss auf die Werkseinstellungen zurückgesetzt werden, um ihn zu reinigen!

 

Dazu ein Artikel bei PC Welt >>

Keine Codes ungeprüft installieren!

Videocodecs sind meist nicht sehr groß. Es spricht also nichts dagegen, sie erst einmal zu überprüfen. Sowieso sollte man sich überlegen, ob man jeden Codec braucht und installieren sollte… Wenn es sich um eine ungewöhnliches Format handelt, ist die Wahrscheinlichkeit gering, den Treiber noch einmal zu brauchen… also warum sollte man sich dieser Gefahr aussetzen?

Generell sollte man nur Codecs von der Herstellerseite bzw. vertrauenswürdigen Portalen downloaden – UND sie nochmal überprüfen.

Am 16.6.2008 ist die Gefahr relativ wenig bekannt.

Bei Jotti heißt es:

AVG Antivirus  DNSChanger.AE gefunden 
BitDefender  Trojan.DNSChanger.TE gefunden 
F-Secure Anti-Virus  Trojan-Dropper.NSIS.Agent.c gefunden 
Ikarus  Virus.Trojan.Win32.DNSChanger.chg gefunden 
Kaspersky Anti-Virus  Trojan-Dropper.NSIS.Agent.c gefunden 
Sophos Antivirus  Troj/Zlobar-Fam gefunden 

Und Virustotal vermeldet:

Avast 4.8.1195.0 2008.06.15 Win32:DNSChanger-VR
AVG 7.5.0.516 2008.06.15 DNSChanger.AE
BitDefender 7.2 2008.06.16 Trojan.DNSChanger.TE
Fortinet 3.14.0.0 2008.06.15 W32/DNSChanger.0513!tr
Ikarus T3.1.1.26.0 2008.06.16 Virus.Trojan.Win32.DNSChanger.chg
Kaspersky 7.0.0.125 2008.06.16 Trojan-Dropper.NSIS.Agent.c
Prevx1 V2 2008.06.16 Cloaked Malware
Sophos 4.30.0 2008.06.16 Troj/Zlobar-Fam
TheHacker 6.2.92.351 2008.06.16 Trojan/DNSChanger.chg

Update

Dank meiner Einsendung erkennt Antivir den Schädling seit 16.6.2008, 15:45 Uhr und hat ihm den Namen
DR/Drop.Nsis.Agent.C.17
gegeben.

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen