# Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !



## Devilfrank (27 Oktober 2006)

Zur Zeit tauchen immer mehr Seiten im Netz auf, die ein eingebettetes Video beinhalten, das der WMP angeblich nicht abspielen kann. Der passende Downloadlink wird natürlich gleich mitgeliefert und schon ist es passiert. Aktuell wird mit dem Download und der Installation der ZLOB-Familie Tür und Tor geöffnet. Das ändert sich jedoch so häufig, dass die Hersteller der Antiviren-/ Antitrojanerprogramme gar nicht hinterherkommen.
Ich beobachte derzeit jedenfalls mehermalige Updates von NOD32 und Ewido pro Tag!

Hier eine englischsprachige Dokumentation von Screenshots, die häufig auftauchenn:
http://www.jahewi.nl/fake/fakecodecs.html


----------



## Captain Picard (27 Oktober 2006)

*AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !*

http://www.pcwelt.de/news/sicherheit/57102/ vom 12.09.2006 


> Erneut falscher Video Codec im Umlauf
> 
> Vorgebliche Media Codecs, die Adware und Malware installieren, sind derzeit auf dem Vormarsch.
> ..
> Bereits die Nutzungsbedingungen (EULA) lassen eigentlich keine Zweifel aufkommen, was der designierte Nutzer zu erwarten hat. Hier werden diverse Zusatzprogramme aufgezählt, die gleich mitinstalliert werden. Darunter sind Toolbars für den Internet Explorer, Programme zur Anzeige von Werbe-Popups sowie angebliche Anti-Spyware. Die Änderung der Startseite des Internet Explorers wird ebenfalls angekündigt. Wer könnte da noch widerstehen...


Schlichter Rat, niemals von einer unbekannten Seite Software laden und installieren 

So toll kann ein Video nicht sein, dass es eines speziellen Codecs bedürfte..


----------



## stieglitz (27 Oktober 2006)

*AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !*



Captain Picard schrieb:


> http://www.pcwelt.de/news/sicherheit/57102/ vom 12.09.2006
> 
> Schlichter Rat, niemals von einer unbekannten Seite Software laden und installieren
> 
> So toll kann ein Video nicht sein, dass es eines speziellen Codecs bedürfte..



Bei mir könnte das so gelaufen sein:
http://forum.computerbetrug.de/showthread.php?t=43717

Aber da kam sicher nur der Hinweis:
Bitte daten Sie Ihren Media Player ab.

Kann mich aber nicht mehr richtig daran erinnern.


----------



## Devilfrank (29 Oktober 2006)

*AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !*

Drei Signatur-Updates an einem Tag. Das ist schon krass...



> NOD32 - v.1.1842 (20061027)
> Virus signature database updates:
> Win32/Agent.NEJ (9), Win32/Agent.YE, Win32/Hupigon (2), Win32/PSW.Lineage.AJP (3), Win32/PSW.Lineage.DN, Win32/PSW.Sinowal.BG (2), Win32/PSW.Sinowal.D, Win32/PSW.Sinowal.K, Win32/Rbot (2), Win32/Rustock.NAA (2), Win32/Rustock.NAB (2), Win32/Rustock.NAC (2), Win32/Rustock.NAD (2), Win32/Rustock.NAE (2), Win32/Rustock.NAF (2), Win32/Spy.Banker.AXC, Win32/Spy.Banker.NQT (2), Win32/StartPage.NGU (3), Win32/Stration, Win32/Stration.KG (6), Win32/Stration.MD, Win32/Stration.MR (13), Win32/Stration.MS (3), Win32/Stration.MT (7), Win32/Stration.MU (3), Win32/Stration.MV (3), Win32/Stration.MW (3), Win32/Stration.MX (3), Win32/Stration.MY (3), Win32/Stration.MZ (2), Win32/TrojanDownloader.Agent.NHS (2), Win32/TrojanDownloader.CWS (2), Win32/TrojanDownloader.Nurech.H, Win32/TrojanDownloader.Small.NFP, Win32/*TrojanDownloader.Zlob.AGU (4)*, Win32/TrojanDropper.MultiJoiner.13.H, Win32/Viking.BY (2), Win32/Viking.BZ (3)
> 
> ...



http://www.eset.com/support/updates.php?


----------



## Devilfrank (5 November 2006)

*AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !*

Update:
http://www.jahewi.nl/lists/fakecodecs/fakecodecs.html


----------



## Devilfrank (30 November 2006)

*AW: Gefakter Video-Codec - Vorsicht ! Es könnte ein Trojaner sein !*

Der nächste Versuch. Diesmal unter dem Namen *Gold Codec Pack*
He, neben dem "Super-Codec" gibts gleich noch eine Antivirensoftware gratis. 
O4 - HKLM\..\Run: [Antivirus-Golden] C:\Program Files\Antivirus-Golden\Antivirus-Golden.exe /h
Aber man ist ja so uneigennützig, dass diese auch schnell noch mit dem Parameter "/h" im System verborgen wird.
:sun: 
Ne is klargeworden...


----------

