Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

Devilfrank · 27 Oktober 2006

Zur Zeit tauchen immer mehr Seiten im Netz auf, die ein eingebettetes Video beinhalten, das der WMP angeblich nicht abspielen kann. Der passende Downloadlink wird natürlich gleich mitgeliefert und schon ist es passiert. Aktuell wird mit dem Download und der Installation der ZLOB-Familie Tür und Tor geöffnet. Das ändert sich jedoch so häufig, dass die Hersteller der Antiviren-/ Antitrojanerprogramme gar nicht hinterherkommen.
Ich beobachte derzeit jedenfalls mehermalige Updates von NOD32 und Ewido pro Tag!

Hier eine englischsprachige Dokumentation von Screenshots, die häufig auftauchenn:
http://www.jahewi.nl/fake/fakecodecs.html

Captain Picard · 27 Oktober 2006

AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

http://www.pcwelt.de/news/sicherheit/57102/ vom 12.09.2006

Erneut falscher Video Codec im Umlauf

Vorgebliche Media Codecs, die Adware und Malware installieren, sind derzeit auf dem Vormarsch.
..
Bereits die Nutzungsbedingungen (EULA) lassen eigentlich keine Zweifel aufkommen, was der designierte Nutzer zu erwarten hat. Hier werden diverse Zusatzprogramme aufgezählt, die gleich mitinstalliert werden. Darunter sind Toolbars für den Internet Explorer, Programme zur Anzeige von Werbe-Popups sowie angebliche Anti-Spyware. Die Änderung der Startseite des Internet Explorers wird ebenfalls angekündigt. Wer könnte da noch widerstehen...

Schlichter Rat, niemals von einer unbekannten Seite Software laden und installieren

So toll kann ein Video nicht sein, dass es eines speziellen Codecs bedürfte..

stieglitz · 27 Oktober 2006

AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

Captain Picard schrieb:
http://www.pcwelt.de/news/sicherheit/57102/ vom 12.09.2006

Schlichter Rat, niemals von einer unbekannten Seite Software laden und installieren

So toll kann ein Video nicht sein, dass es eines speziellen Codecs bedürfte..

Bei mir könnte das so gelaufen sein:
http://forum.computerbetrug.de/showthread.php?t=43717

Aber da kam sicher nur der Hinweis:
Bitte daten Sie Ihren Media Player ab.

Kann mich aber nicht mehr richtig daran erinnern.

Devilfrank · 29 Oktober 2006

AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

Drei Signatur-Updates an einem Tag. Das ist schon krass...

NOD32 - v.1.1842 (20061027)
Virus signature database updates:
Win32/Agent.NEJ (9), Win32/Agent.YE, Win32/Hupigon (2), Win32/PSW.Lineage.AJP (3), Win32/PSW.Lineage.DN, Win32/PSW.Sinowal.BG (2), Win32/PSW.Sinowal.D, Win32/PSW.Sinowal.K, Win32/Rbot (2), Win32/Rustock.NAA (2), Win32/Rustock.NAB (2), Win32/Rustock.NAC (2), Win32/Rustock.NAD (2), Win32/Rustock.NAE (2), Win32/Rustock.NAF (2), Win32/Spy.Banker.AXC, Win32/Spy.Banker.NQT (2), Win32/StartPage.NGU (3), Win32/Stration, Win32/Stration.KG (6), Win32/Stration.MD, Win32/Stration.MR (13), Win32/Stration.MS (3), Win32/Stration.MT (7), Win32/Stration.MU (3), Win32/Stration.MV (3), Win32/Stration.MW (3), Win32/Stration.MX (3), Win32/Stration.MY (3), Win32/Stration.MZ (2), Win32/TrojanDownloader.Agent.NHS (2), Win32/TrojanDownloader.CWS (2), Win32/TrojanDownloader.Nurech.H, Win32/TrojanDownloader.Small.NFP, Win32/TrojanDownloader.Zlob.AGU (4), Win32/TrojanDropper.MultiJoiner.13.H, Win32/Viking.BY (2), Win32/Viking.BZ (3)

NOD32 - v.1.1841 (20061027)
Virus signature database updates:
Win32/Adware.Virtumonde (2), Win32/Adware.Virtumonde.O, Win32/Locksky.BG, Win32/Locksky.BQ (4), Win32/Medbot.BT, Win32/Medbot.BU (2), Win32/Medbot.BV (2), Win32/Medbot.BW (2), Win32/Protoride (2), Win32/PSW.Legendmir.NDP, Win32/PSW.Lineage.AEL, Win32/PSW.Lineage.DN, Win32/PSW.Lineage.VA, Win32/PSW.Sinowal.BF, Win32/Rbot, Win32/Spy.Banker.ANV, Win32/Stration, Win32/Stration.MN (3), Win32/Stration.MO (3), Win32/Stration.MP (3), Win32/Stration.MQ (3), Win32/Stration.MR (5), Win32/TrojanDownloader.Agent.QN, Win32/TrojanDownloader.Banload.BFB, Win32/TrojanDownloader.Banload.BGC (2), Win32/TrojanDownloader.Nurech.H (3), Win32/TrojanDownloader.Small.CXZ, Win32/TrojanDownloader.Small.DIB (2), Win32/TrojanDownloader.Small.NPP, Win32/TrojanDownloader.VB.NHP, Win32/TrojanDownloader.Zlob (5), Win32/TrojanDownloader.Zlob.AGT (3), Win32/TrojanDropper.Agent.AKO, Win32/TrojanDropper.MultiJoiner.13.H, Win32/TrojanProxy.Daemonize, Win32/Viking.BU

NOD32 - v.1.1840 (20061027)
Virus signature database updates:
Win32/Adware.SpySheriff (2), Win32/Agent.NEH (2), Win32/Agent.NEI (2), Win32/Agent.RX (2), Win32/Hupigon, Win32/PSW.LdPinch.NCC, Win32/PSW.Sinowal.D, Win32/Spy.Banker.NQS (2), Win32/Spy.Delf.NDM, Win32/Spy.Delf.PG, Win32/Stration, Win32/Stration.LZ (11), Win32/TrojanDownloader.Small.NLI, Win32/TrojanDropper.Agent.AXQ

http://www.eset.com/support/updates.php?

Devilfrank · 5 November 2006

AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

Update:
http://www.jahewi.nl/lists/fakecodecs/fakecodecs.html

Devilfrank · 30 November 2006

AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

Der nächste Versuch. Diesmal unter dem Namen Gold Codec Pack
He, neben dem "Super-Codec" gibts gleich noch eine Antivirensoftware gratis.
O4 - HKLM\..\Run: [Antivirus-Golden] C:\Program Files\Antivirus-Golden\Antivirus-Golden.exe /h
Aber man ist ja so uneigennützig, dass diese auch schnell noch mit dem Parameter "/h" im System verborgen wird.
:sun:
Ne is klargeworden...

Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !

Devilfrank

Sehr aktiv

Captain Picard

Commander

stieglitz

Mitglied

Devilfrank

Sehr aktiv

Devilfrank

Sehr aktiv

Devilfrank

Sehr aktiv

Anhänge