Spyware Media-Codec: Wie und woher? Einstellungen

[Manu]

Hallo zusammen,

ich habe hier gerade einen Patienten in Behandlung, welcher von Media-Codec befallen ist.
Da der Patient sich nicht vorstellen kann, wie und wo er sich das Ding eingefangen hat und ich auch keine Infos im Netz finden kann, seid nun ihr gefragt. Also, wie kann man sich das "einfangen"?

Dankeschön im Voraus schon einmal!

[Solution-Design]

Möchtest du jetzt tatsächlich, dass hier altbekannte Cracksites gepostet werden? Nicht wirklich, oder... Soviel sei verraten, es gibt ihn auf jeder besseren KeyGen-Download-Site.

Rest: PM

Der Beitrag wurde von Solution-Design bearbeitet: 04.09.2006, 22:43

[Manu]

Ups, nö. Möchte ich nicht, aber danke für die PM.
Cracks und Konsorten sind auszuschließen, dann gehe ich aber recht in der Annahme, dass er auch bei tollen Screensaver zu finden wäre?! Das ist dann eigentlich auch das einzige, was ich mir bei jener Person vorstellen kann. Allein schon wegen dem bestechenden Know-How beim Installationsvorgang.

[raman]

Das wird nicht ueber Crackseiten verteilt. Es gibt 2 Moeglichkeiten, einmal wird das ganze via eines Downloaders installiert, der noch massenhaft anderes installiert, oder 2. Moeglichkeit, man installiert es sich selber(!), da man von irgendwo angehalten wird, einen Codec zu installieren, damit man bestimmte Videos ansehen kann. Die Seite, auf der das angeboten wird, ist relativ serioes aufgebaut.

Naja, wie man vermutet, ein Codec installiert man sich da nicht!;)

Einige dieser Seiten wurden die letzten Monate geschlossen. Wenn ich das recht in Erinnerung habe, sind zur Zeit noch 3 dieser Seiten aktiv.

Das ist das "Allheilmittel" dagegen: http://siri.geekstogo.com/SmitfraudFix_De.php

[Manu]

Danke, Ralf. Außer dem angeblichen Codec ist nichts installiert, der Rest des HJT-Logs ist in Ordnung.
Ich hatte deswegen gefragt, weil ich mir kaum vorstellen kann, dass jene Person selbst nach einem Codec gesucht hat, zumal ich bereits alle notwendigen Codecs auf der Kiste installiert hatte.
Meine einzige Vermutung waren vermeintliche Screensaver, Hintergrundbilder oder irgendwelche Mini Online-Spiele. Ich werde heute Abend genauer nachhaken.

[Voyager]

Hab gerade noch eine frische Meldung über ein Codec-Fake gelesen , das dürfte gerade gut hier reinpassen.
zCodec is a Trojan
http://uk.theinquirer.net/?article=34156

Jotti meint zu dem 100kb Objekt:
AntiVir Trojan/Drop.Zlob.acn gefunden
AVG Antivirus Downloader.Zlob.DEZ gefunden
NOD32 a variant of Win32/TrojanDownloader.Zlob gefunden
VirusBuster Trojan.DR.Zlob.ZG gefunden
VBA32 Trojan-Downloader.Win32.Zlob.agz gefunden

[MyThinkTank]

oder 2. Moeglichkeit, man installiert es sich selber(!), da man von irgendwo angehalten wird, einen Codec zu installieren, damit man bestimmte Videos ansehen kann. Die Seite, auf der das angeboten wird, ist relativ serioes aufgebaut.

Naja, meines Wissens tummeln sich diese angeblichen Codecs auch zuhauf auf den Schmuddelseiten des Internets. Und wenn man sich schmuddelige Filmchen ansehen will, ... (dann klickt man(n) auch mal auf "OK", weil man(n) nicht mehr genug Blut im Kopf hat).

Gruß!
MTT

[Wildone]

Hallo,
MyThinkTank und raman haben es ja schon durchblicken lassen, meistens installiert man sich den Spass indem man Hoppelfilme ansehen will und dabei dann aufgefordert wird ein vorgebliches Codec zu installieren. Leider sind die Zlobautoren den AVs immer einen Schritt voraus. Ich weiß jetzt nicht ob es hier erlaubt ist eine Quelle für MediaCodec (Zlob) anzugeben, aber eine aktuelle Version hat bei Virustotal folgende Auswertung:

AntiVir 7.1.1.11 09.05.2006 DR/Zlob.Gen
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.04.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.04.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
DrWeb 4.33 09.05.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 suspicious
F-Prot 3.16f 09.04.2006 no virus found
F-Prot4 4.2.1.29 09.04.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4844 09.04.2006 no virus found
Microsoft 1.1560 09.03.2006 no virus found
NOD32v2 1.1739 09.04.2006 no virus found
Norman 5.90.23 09.04.2006 no virus found
Panda 9.0.0.4 09.04.2006 Suspicious file
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.04.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 Trojan.DL.Zlob.YK.Gen

Thread bei Wilders zu dem Thema.


Grüße Wildone

Der Beitrag wurde von Wildone bearbeitet: 05.09.2006, 11:28

[raman]

Ist ganz "Lustig" das ist nicht unbedingt Zlob, das geht mehr nach Wareout. Sprich es aendert den DNS Server und installiert einen Rootkit!

Nachtrag, Panda erkennt nichts davon!:) Die Malware wird ja auch recht schnell geaendert...

[Manu]

MyThinkTank und raman haben es ja schon durchblicken lassen, meistens installiert man sich den Spass indem man Hoppelfilme ansehen will und dabei dann aufgefordert wird ein vorgebliches Codec zu installieren.

Das will ich bei diesem jungen Mädchen eigentlich ausschließen.

[Rios]

Rund um das Thema. Die Codecs haben es in sich. Mehr hier
http://www.pcwelt.de/news/sicherheit/56508/index.html

[Voyager]

ist identisch mit Beitrag 6

[Gast_Jens1962_*]

Der IE verbietet mir den Download,
der Firefox warnt,
der Opera will das Zeug zulassen - hier springt ewido an.

Der Download-Button auf der Website ist auch irreführend, das Zeug wird direkt von der Website installiert.

Jens

[Solution-Design]

IE verbietet hier nix. Und die 96KB große Datei lässt sich problemlos downloaden. Was ist denn daran irreführend. Du meinst, dass nach Ausführung der Datei der wahre Download durchgeführt wird, oder? Symantec sagt dazu übrigens nix. eScan meldet: ZCodec1000.exe infected by "Trojan-Downloader.Win32.Zlob.agz" Virus! Action Taken: File Deleted.

[Voyager]

Die Malware Zcodec wurde schon im 11.36uhr an Symantec submitted

[Gast_Mephisto_*]

Habe die Datei einmal über jotti und einmal bei KAV Labs direkt online scannen lassen. Bei jotti kommt bei KAV "Keine Viren gefunden" und auf der KAV-Webseite kommt das hier:

Zu überprüfende Datei: ZCodec1000.exe - Infiziert

ZCodec1000.exe/data0001 Ok
ZCodec1000.exe/data0002 Infiziert: Trojan.Win32.DNSChanger.en
ZCodec1000.exe/data0003 Ok
ZCodec1000.exe/data0004 Ok
ZCodec1000.exe/data0005 Ok

[Manu]

So, Aufklärung: Sie hatte einen Link in einer E-Mail von einer Michaela () angeklickt. Dort ging ein Fenster auf, bei welchem "das X einfach ausgegraut" war. Ihr blieb also keine andere Möglichkeit "als auf OK zu klicken".

Ich kenne sie nur flüchtig... sehr flüchtig!

[Voyager]

Ja jetzt nichtmehr.

[Gast_Jens1962_*]

IE verbietet hier nix. Und die 96KB große Datei lässt sich problemlos downloaden. Was ist denn daran irreführend.

Der IE verbietet bei mir aus gutem Grund. Beim Klick auf "Download" mit dem Opera kommt kein DL-Dialog, sondern eine EULA. akzeptiert man (was bei nicht akzeptieren passiert, das weiß ich nicht - lieber nicht ausprobieren!) dauert es nur wenige Sekunden und ewido schlägt an. Dem Norton ging das Ding gestern noch am A... vorbei.

Das ist das "Allheilmittel" dagegen: http://siri.geekstogo.com/SmitfraudFix_De.php

Nicht wirklich.
In dem Zeitraum bis ewido reagiert, ist bereits eine dmgkl.exe installiert, die sich unter HKLM Autostartrechte gesichert hat und offenbar einigen anderen Unfug angestellt hat. ewido findet noch einiges anderes Zeug, kann es aber nicht bereinigen.
Jetzt kommt der abgesicherte Modus und Smitfraud. Wenn das durch ist, nach einem Neustart den Autostart der dmgkl.exe und die exe entfernen. Bei einem weiteren Scan mit ewido wird im dll-Cache noch eine csmej.exe gefunden, die auch gelöscht wird.
Danach dürfte der Rechner wieder sauber sein, ich finde zumindest nichts mehr. Ich habe allerdings auch nicht das volle Programm laufen lassen.
Wenn jemand viel Langeweile hat, auf der zcodec.com-Website kann man sich seinen Rechner so richtig schön zur Sau machen.

Jens

[Voyager]

Die Hosts Datei dürfte noch kompromittiert sein.