Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Trojaner im Video-Codec (https://www.dedies-board.de/wbb2/thread.php?threadid=1619)
Geschrieben von dedie am 05.09.2006 um 20:42:
Trojaner im Video-Codec
| Zitat: |
| Der angebliche Multimedia Compressor/Decompressor zCodec soll sich in Windows DirectShow einklinken und so Audio- und vor allem Video-Qualität um bis 40 Prozent verbessern. In Wahrheit handelt es sich um ein ein Trojanisches Pferd, das versucht den Anwender auszuspionieren. Bereits bei der Installation der zum Download offerierten EXE-Datei auf unserem Test-System verbog es die Einträge für die DNS-Server auf IP-Adressen 85.255.X.Y. Im Weiteren versuchte es mehrfach über den Internet Explorer Kontakt zu externen Seiten aufzunehmen. Wie Panda berichtet, lädt es dabei Dateien nach und führt diese aus. Unter anderem kann es sich dabei um weitere Trojanische Pferde wie den Ruins.MB handeln, die Rootkit-Techniken einsetzen, um sich zu verstecken. |
|
Weitere Infos so wie die Quelle
Geschrieben von Haui am 05.09.2006 um 21:49:
Das hört sich für mich eigentlich schwer nach einer weiteren Wareout-Variante an...Änderung der DNS-Server-Einträge, ein Rootkit, das nachgeladen werden kann...
Anders als Panda würde ich das Gefahrenpotential aber nicht unbedingt als gering einschätzen...
Geschrieben von Vimes am 05.09.2006 um 23:27:
| Zitat: |
Original von Haui
Anders als Panda würde ich das Gefahrenpotential aber nicht unbedingt als gering einschätzen... |
|
Ich auch nicht. Geänderte DNS-Einträge ist schon übel genug...
MfG
Vimes
Geschrieben von Haui am 07.09.2006 um 21:59:
Interessant ist übrgens auch, dass die Datei, die auf der Zcodec-Website angeboten wird, in sehr kurzen Abständen verändert wird. Seit der Nacht vom 05.09 auf den 06.09 zähle ich schon die vierte Version. Anbei noch das Scanergebnis der aktuellen Version auf
www.virustotal.com
Geschrieben von dedie am 07.09.2006 um 22:09:
| Zitat: |
| Seit der Nacht vom 05.09 auf den 06.09 zähle ich schon die vierte Version |
|
Da scheint ein eifriger Programmierer am werke zu sein, der verlässt sich wohl nicht darauf das sein Produkt in der Ursprungsform dauerhaft funzt.
Die Auswertung von
www.virustotal.com erschreckt mich ein wenig, da sehe ich nur wenige Scanner die den Schädling finden das ist etwas beunruhigend
Geschrieben von Haui am 07.09.2006 um 22:18:
Folgendes habe ich soeben auf Rokop-Security gelesen.
Wer keine ordentliche Heuristik im Scanner hat, darf also fleißig Signaturen einpflegen.
| Zitat: |
Original von dedie
Die Auswertung von www.virustotal.com erschreckt mich ein wenig, da sehe ich nur wenige Scanner die den Schädling finden das ist etwas beunruhigend |
|
Das Ergebnis sieht bei den anderen Samples aber auch nicht besser aus...teilweise sogar schlechter.
Der beste Schutz ist also nach wie vor, das Ding einfach nicht zu installieren...
Geschrieben von dedie am 07.09.2006 um 22:30:
| Zitat: |
| Der beste Schutz ist also nach wie vor, das Ding einfach nicht zu installieren... |
|
Hab ich zum Glück kein Problem damit, ich bin zur zeit zufrieden mit der Audio/Video Qualität meines Rechners
OT:
Ich finde es doch immer wieder nett was von alten Bekannten zu lesen und sei es in einem anderen Board(was mir bei dem Bekannten auch lieber ist)