Spyware Media-Codec: Wie und woher? Einstellungen

[raman]

Ein Durchgang mit einem Antirootkit tool haette es auch getan....

[Gast_Jens1962_*]

Die Hosts Datei dürfte noch kompromittiert sein.

Nö, die war gesperrt.

Ein Durchgang mit einem Antirootkit tool haette es auch getan....

Zu spät, der Tip.
Bei dem schönen Wetter mache ich jetzt auch was anderes, als mir freiwillig Rechner zu zerballern.

Gruß Jens

[Wildone]

Hallo,

In dem Zeitraum bis ewido reagiert, ist bereits eine dmgkl.exe installiert

Wenn das durch ist, nach einem Neustart den Autostart der dmgkl.exe und die exe entfernen. Bei einem weiteren Scan mit ewido wird im dll-Cache noch eine csmej.exe gefunden

Sind ja doch die klassischen Wareout Dateien (dm*.exe und cs*.exe), ist doch schon über ein Jahr im Umlauf. Und imho werden nicht die Hosts sondern die DNS Einträge verändert (hat raman doch auch schon erwähnt).


Grüße Wildone

[Solution-Design]

Der IE verbietet bei mir aus gutem Grund. Beim Klick auf "Download" mit dem Opera kommt kein DL-Dialog, sondern eine EULA. akzeptiert man (was bei nicht akzeptieren passiert, das weiß ich nicht -

Dann meinst du sicher eine andere Seite. Ich meine die hier:

[Gast_Dylan_*]

Das Spiel mit den Media Codecs geht weiter,die Dateien,der von Solution-Design genannten Seite oben,werden permanent verändert,so daß heuristikschwache Scanner ausgetrickst werden und andere mit den Singnaturen nicht mehr nachkommen.


Datei: ZCodec1000.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden
daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-


AntiVir
Trojan/Drop.Zlob.acn gefunden

ArcaVir
Trojan.Dnschanger.Eq gefunden

Avast
Keine Viren gefunden

AVG Antivirus
Downloader.Zlob.DEZ gefunden

BitDefender
Trojan.Downloader.Zlob.VZ gefunden

ClamAV
Keine Viren gefunden

Dr.Web
Trojan.DnsChange gefunden

F-Prot Antivirus
Keine Viren gefunden

Fortinet
Keine Viren gefunden

Kaspersky Anti-Virus
Keine Viren gefunden

NOD32
a variant of Win32/TrojanDownloader.Zlob gefunden

Norman Virus Control
Zlob.OTX gefunden

UNA
Keine Viren gefunden

VirusBuster
Keine Viren gefunden

VBA32
Trojan.Win32.DNSChanger.eq gefunden

Das ist nur ein Beispiel von vielen,bei anderen Test's sah das Ergebniss noch viel trüber aus.Wobei man anmerken muß das NOD32 bisher alle Varianten heuristisch erkannte,zumindest die die ich in die Finger bekamm....und das waren nicht gerade wenige.

Gruß
Dylan

Der Beitrag wurde von Dylan bearbeitet: 07.09.2006, 01:04

[Gast_Dylan_*]

Die Seite die Solution-Design oben beschrieben hat,ist mit NOD32 eigentlich nicht zugänglich.Versucht man die Seite aufzurufen bekommt man folgende Meldung:

NOD32 antivirus system alert: IMON
Access denied !

Information:
Web page:
h**p://zc**ec.com/

Description:
Access to the web page was blocked by IMON.
The web page is on the list of websites with potentially dangerous content.

Kommt aber natürlich darauf an,wie NOD eingestellt ist.....

Der Beitrag wurde von Dylan bearbeitet: 07.09.2006, 00:56

[Rios]

Es tauchen immer neue, bzw. veränderte Codecs auf. Der letzte momentan entdeckt um 00:00 Uhr.
http://www.kaspersky.com/viruswatchlite?hour_offset=-2

[Gast_rock_*]

also das mit dem Zcodec hört sich garnicht nett an:

Angeblich soll das Programm einen Codec aufs System laden, der zum Abspielen verschiedener Multimedia Formate dient.

Noch bevor der User die vermeintliche Lizenzvereinbarung akzeptieren oder ablehnen kann, nistet sich Zcodec auf dem System ein, installiert einen Rootkit, um nicht entdeckt zu werden und lädt zwei ausführbare Dateien herunter.

http://www.winhelpline.info/forum/allgemei...ergebnisse.html

übrigens: mc afee mault auch nicht! werds einschicken!!
Antivirus Version Update Result
AntiVir 7.1.1.14 09.06.2006 TR/Drop.Zlob.acn
Authentium 4.93.8 09.07.2006 no virus found
Avast 4.7.844.0 09.06.2006 no virus found
AVG 386 09.06.2006 Downloader.Zlob.DEZ
BitDefender 7.2 09.07.2006 MemScan:Trojan.Downloader.Zlob.VZ
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.07.2006 no virus found
DrWeb 4.33 09.06.2006 no virus found
eTrust-InoculateIT 23.72.118 09.07.2006 no virus found
eTrust-Vet 30.3.3064 09.06.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.07.2006 no virus found
F-Prot 3.16f 09.07.2006 no virus found
F-Prot4 4.2.1.29 09.07.2006 no virus found
Ikarus 0.2.65.0 09.06.2006 no virus found
Kaspersky 4.0.2.24 09.07.2006 Trojan.Win32.DNSChanger.er
McAfee 4846 09.06.2006 no virus found
Microsoft 1.1560 09.07.2006 no virus found
NOD32v2 1.1742 09.06.2006 a variant of Win32/TrojanDownloader.Zlob
Norman 5.90.23 09.06.2006 no virus found
Panda 9.0.0.4 09.07.2006 no virus found
Sophos 4.09.0 09.07.2006 no virus found
Symantec 8.0 09.07.2006 no virus found
TheHacker 5.9.8.206 09.07.2006 no virus found
UNA 1.83 09.06.2006 Trojan.Win32.DNSChanger.1A82
VBA32 3.11.1 09.05.2006 Trojan.Win32.DNSChanger.er
VirusBuster 4.3.7:9 09.06.2006 no virus found

Der Beitrag wurde von rock bearbeitet: 07.09.2006, 06:57

[Gast_rock_*]

na geht eh wieder schnell mit den einsendungen... eTrust zum beispiel:

Win32/Alureon trojan dropper

so, aber jetzt schönen tag...bye bye...

[Wildone]

Hallo,
ehrlich gesagt verstehe ich gar nicht was an zcodec das berichtenswerte ist, das Konzept ist schon fast ein Jahr alt (ob es jetzt z- oder vcodec heißt ist doch egal). Die verbreiteten Zlobs (oder damals noch Smitfrauds) werden quasi täglich verändert und die heuristischen Erkennungen der AVs beißen sich damit auch schon ein Jahr lang die Zähne daran aus. Bestätigt mich irgendwie in meiner Ansicht das ein Sicherheitssystem auch ohne AV funktionieren muss, sonst ist es nichts wert.



Grüße Wildone

[Voyager]

Symantec erkennt den ersten ZCodec als Trojan.Zlob , den 2ten aber nichtmehr . Das neue Sample ist aber schon submitted.

Kaspersky erkennt den heutigen Zcodec laut Jotti auch nichtmehr.

Der Beitrag wurde von bond7 bearbeitet: 07.09.2006, 08:28

[raman]

Wenn ihr meint diese Nsis "submitten" zu muessen, vergesset nicht die Dateien ZCodec1001.exe-ZCodec1200.exe auch mitzuschicken!

[Gast_Jens1962_*]

Dann meinst du sicher eine andere Seite. Ich meine die hier:

Ich auch.

Komisch, die Opera-Einstallungen passen eigentlich.

Übrigens, die Erkennung von ewido ist heute besser als gestern, da wurde erst später gemeckert.
Frag mich mal nach meinem AV und ob es sinnvoll ist, dem gelegentlich zu helfen...

Jens

[Voyager]

@raman

Aktuell sehe ich auf der Page den Zcodec1000.exe im DL-Button , zu welcher Nuss soll ich woher den ZCodec1001.exe-ZCodec1200.exe schicken ?

[raman]

Du bist doch sonst nicht auf den Kopf gefallen, ersetze Zcodec1000.exe halt durch Zcodec1001.exe, Zcodec1002.exe usw!

[Voyager]

Ach nee... meinst du das jetzt ernsthaft ? Ich hab den "alten" Zcodec nichtmehr um das zu testen aber eigentlich dürfte das nicht sein weil ich hab heute den "neuen" Zcodec.exe getestet und wenn Symantec sich das wirklich so einfach macht wie du das behauptest dann müsste und sollte die EXE eigentlich erkannt werden, tuts aber nicht.

[raman]

Ich glaube da reden wir aneinander vorbei!:)
Auf der zcodec Seite wird zwar nur ueber den Downloadbutton nur die ZCodec1000.exe aber wenn du den Downloadlink auf ZCodec1001.exe bis ZCodec1200.exe aenderst, wirst du feststellen, das dort noch mehr Dateien gehostet werden... und zwar sind alle diese Dateien leicht unterschiedlich!

BTW: Die Dateien aendern sich mehrmals taeglich.

[Voyager]

Achso? nasowas aber auch.... wusste ich nicht.
Es kann natürlich auch sein das diese "Varianten" automatisch nach ein paar Stunden als ZCodec1000.exe umbenannt werden um dort Sicherheitssysteme automatisch auszuhebeln.

Die aktuelle Version wurde zumindestens eben erkannt.
Quelle: C:\Downloads\ZCodec1000.exe.jc!
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Trojan.Zlob
Durchgeführte Aktion: Automatisch gelöscht

Der Beitrag wurde von bond7 bearbeitet: 07.09.2006, 15:01

[Solution-Design]

Ich auch.

Komisch, die Opera-Einstallungen passen eigentlich.

Bei dir wird die *.exe direkt ausgeführt. Da ist das Haar in der Suppe. Kontrolliere sicherheitshalber noch mal deine Einstellungen.


Internet-Explorer
"Öffnen nach dem download bestätigen" ist auch für den betreffenden Dateityp aktiviert?
http://www.misitio.ch/ie/ie6/ie6probleme.html#3150

[Rios]

Bei aktivierten SpySweeper ist die Seite gar nicht zu öffnen. Unterbindet sofort.