Nicht nur angebliche Video-Codecs, auch als Abspielprogramm für Videos angepriesene Software kann Malware enthalten. In diesem Fall werden DNS-Anfragen auf Werbe-Websites umgeleitet.
Das Internet Storm Center ( ISC ) hat am Wochenende über eine vermeintliche Software zum Abspielen von Videos berichtet , die nicht das ist, was sie vorgibt zu sein. Das auf der Website Dvdaccess.net angebotene Programm namens "DVDaccess" soll angeblich eine Multimedia-Software darstellen, die sich in alle Programme integriert, die Microsofts Directshow und Video für Windows nutzen. Versprochen werden unter anderem Klangverbesserungen.
Tatsächlich enthält die zum Download angebotene Datei "dvdaccess1000.exe" Malware aus der Zlob-Familie. Diese Schädlinge sind bereits aus einer Vielzahl von vorgeblichen Video-Codecs bekannt, die vor allem bei Web-Angeboten mit Inhalten "für Erwachsene" immer wieder auftauchen.
Nach Angaben des ISC räumt sich die Software bereits beim Installieren in der Lizenzvereinbarung das Recht ein, diverse weitere Programme von Fremdanbietern zu installieren. Hauptaufgabe der Software scheint es demnach zu sein, Suchergebnisse umzuleiten und DNS-Abfragen für nicht existierende Domains auf Werbe-Websites umzulenken. Der Schädling nutzt auch Rootkit-Techniken, um seine Entdeckung und Entfernung zu erschweren.
Auf dem Download-Server liegen mehrere hundert Varianten, die sich nur marginal durch die Packroutinen der EXE-Dateien unterscheiden. Das ISC gibt an, für jede IP-Adresse, von aus der ein Download erfolge, werde eine spezielle Variante des Schädlings ausgeliefert. So könnten die Hintermänner im Einzelfall verfolgen, was ihre Zöglinge anstellen.
Die Erkennung durch Antivirus-Programme ist zurzeit noch recht lückenhaft, erklärt sich jedoch zumindest teilweise durch die Vielzahl der Varianten, die mutmaßlich ständig neu generiert werden.
Quelle: AV-Test , Stand: 20.11.06, 14 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast
Quelle :
www.pcwelt.de
