URL dieser Newsmeldung:

Ein neuer Trojaner nutzt Multimedia-Dateien in verschiedenen Formaten, um sich auf Windows-Systemen einzuschleichen. Die Dateien werden so präpariert, dass sie beim Abspielen im Windows Media Player zum Nachladen eines Codecs auffordern. Folgt der Benutzer dieser Aufforderung, wird statt eines Codecs der Trojaner auf seinem Rechner installiert. Der setzt dann u.a. einen Registry-Schlüssel, und bei weiteren Abspielversuchen unterbleibt die Aufforderung zum Codec-Download. Der Benutzer glaubt dadurch, den Codec erfolgreich installiert zu haben.

Aus MP2 und MP3 wird WMA

Der Trojaner wandelt MP2- und MP3-Dateien in Windows Media Audio (WMA) Dateien um, wobei die Erweiterung .mp3 erhalten bleibt, und fügt diesen ebenfalls die Aufforderung zum Nachladen des angeblichen Codecs hinzu. Wird eine der umgewandelten Dateien später weitergegeben, z.B. über Filesharing, fordert sie zum Nachladen des angeblichen Codecs auf, und das Ganze beginnt von vorne...

Außer gefundene MP2- und MP3-Dateien umzuwandeln und zur eigenen Verbreitung zu nutzen, werden vom Trojaner auch Informationen, z.B. Zugangsdaten zu E-Mail- und IM-Konten, gesammelt.

Namen sind Schall und Rauch?

Der Trojaner hat von den Antiviren-Herstellern mehrere Namen bekommen: TrustedSource nennt ihn Trojan.ASF.Hijacker.gen, bei Trend Micro heißt der Trojaner TROJ_MEDPINCH.A und die nachgeladene Spyware TSPY_LDPINCH.ASG, und Kaspersky hat ihn auf den Namen Worm.Win32.GetCodec.a getauft, der nachgeladene Schädling hört dort auf den Namen Trojan-Proxy.Win32.Agent.arp.

Es wäre schön, wenn sich die Damen und Herren mal auf eine einheitliche Namensgebung einigen könnten. Und was das 'Worm' betrifft - Würmer verbreiten sich selbst, dieser Schädling ist auf eine Aktion des Benutzers (den Download des Codecs) angewiesen und damit kein Wurm, sondern ein Trojaner.

Alter Hut, neuer Träger

Schadsoftware als angeblichen Codec zu tarnen, ist eigentlich ein alter Hut. Bisher wurden aber immer Webseiten als Verbreitungsweg genutzt, auf denen ein angebliches Video erst nach dem Download eines Codecs angezeigt werden konnte. Neu ist, dass eigenständige Multimedia-Dateien verwendet werden, um zum Download des Codecs aufzufordern. Einer harmlosen MP3-Datei aus dem Filesharing-Netzwerk des persönlichen Vertrauens oder von der Festplatte eines Freundes werden auch viele Benutzer vertrauen, die unbekannten Webseiten gesundes Misstrauen entgegenbringen.

Gegenmaßnahmen

Wenn ein Kind einen Namen hat, wird es auch erkannt. So ist es auch bei diesem Trojaner: Zumindest die Virenscanner der Hersteller, die ihm einen Namen gegeben haben, erkennen den Schädling auch. Die anderen Hersteller werden dem wohl kaum nachstehen wollen und ihre Virensignaturen ebenfalls anpassen. Da der Trojaner auf die tatkräftige Mithilfe seiner Opfer angewiesen ist, kann man sich aber auch einfach durch zurückhaltenden Gebrauch des Klickfingers schützen. Nur weil irgendeine Datei der Meinung ist, man müsse diesen oder jenen Codec unbedingt herunterladen, muss man das ja noch lange nicht tun.

Carsten Eilers