Ihr aktueller Web-Browser zeigt die Seite möglicherweise nicht ordnungsgemäß an.

TrendSecure bietet die beste Leistung mit der neuesten Version von Microsoft Internet Explorer - oder - Mozilla Firefox .

Vorderste Verteidigungslinie

Angriff der Video-Codecs

Je mehr Videos heruntergeladen werden, umso mehr bösartige Software landet beim Benutzer. Seit März 2006 hat TrendLabs eine Zunahme der über Trojaner-Codec-Dateien heruntergeladenen Bedrohungen verzeichnet.

Bei den betroffenen Dateien handelt es sich um Codecs (Dateien, die die Übertragung von Videosignalen unterstützen) mit den Endungen .ASX und .ASF. ASF (Advanced Streaming Format) ist ein von Microsoft entwickeltes Medienformat. Audio- und/oder Videodateien, die mit verschiedenen Codecs komprimiert sind, können im ASF-Format gespeichert und anschließend zum Anzeigen übertragen werden. ASX- (Advanced Sreaming Redirector) Dateien sind Befehlsdateien im Textformat, die die Übertragung der ASF-Dateien verwalten.

Der erste Schritt der Infektion besteht im Download einer vermeintlichen Videodatei mit .ASX-Erweiterung. Diese Dateien können Links enthalten, die den Browser auf bösartige Websites mit gefälschtem ASF-Inhalt umleiten. Ein Beispiel hierfür sind TROJ_ASXLOAD und dessen Varianten. Der Trojaner lädt eine leere ASF-Datei mit der Nachricht, dass zum Anzeigen des Videos weitere Codecs installiert werden müssen.

Über einen Link kann der Benutzer den zusätzlich benötigten Codec herunterladen.

Bei diesem Codec handelt es sich um den Trojaner-Downloader TROJ_ADLOAD.EK

Dieser wird tief im System installiert. Er kann als BHO (Browser Helper Object) wie eine Google, Yahoo oder Earthlink Symbolleiste agieren oder über ActiveX diverse Adware-Popups anzeigen.

Außerdem können weitere Downloader installiert werden. Bei TrendLabs wurde die Installation von TROJ_ZLOB.ANT beobachtet, der die DNS-Einträge auf dem Host-Computer verändert, damit der Benutzer auf andere bösartige Websites umgeleitet wird.

Varianten des Trojaners TROJ_ZLOB wiederum laden andere bösartige Codes von verschiedenen Websites herunter. Das können z.B. betrügerische Adware-Popups sein, die ein gefälschtes Suchergebnis anzeigen. Innerhalb des Ergebnisfensters kann der Benutzer wiederum über einen Link auf eine gefälschte Website zum Download von Anti-Spyware-Software weitergeleitet werden.

"Wir haben von Banden gehört, die Spam verbreiten und auf anderen Wegen illegal aktiv sind", so Jamz Yaneza, Senior Threat Analyst bei Trend Micro.

"Eine von ihnen hat sich auf das Ausspionieren von Codec-Daten spezialisiert und unterhält Niederlassungen unter anderem in Italien, den USA und anderen Ländern. Sie verwenden offizielle Codecs, die Website, auf der der Codec erworben wird, oder installieren Spyware auf Ihrem Computer, um Ihnen eine gefälschte Anti-Spyware-Lösung zu verkaufen. Die gefälschte Lösung ist in Wirklichkeit selbst Spyware und zeigt eine Meldung an, dass die entdeckte Infektion nur mit einer bestimmten Anti-Spyware-Lösung gesäubert werden kann. Zum Kauf der Lösung werden Sie zur Eingabe Ihrer Kreditkarten- und persönlichen Daten aufgefordert. Danach werden die eingegebenen Daten gestohlen."

Das zunehmende Interesse an Video-Streaming-Technologien und der damit verbundene Anstieg der Websites, die diese Dienste betreiben, scheint für die Zunahme der Bedrohungen durch ZLOB-Installationen verantwortlich zu sein.

In den USA pausieren viele Fernsehserien zwischen April und August. Die nächsten Staffeln werden erst im Oktober ausgestrahlt. Daher sind in den Monaten zwischen April und August Spitzenwerte zu verzeichnen, wenn Fans der Serien die verpassten Folgen herunterladen.

Auf den P2P-Websites (Peer-to-Peer), von denen die meisten Videodateien heruntergeladen werden, ist nahezu keine Kontrolle über bösartige Inhalte möglich. (Sehen Sie dazu auch das angehängte Diagramm: Eine Instanz weist auf eine einzelne Infektion hin; mehrere Instanzen weisen auf wiederholte Infektionen über dieselbe Benutzergruppe hin).

Web-Bedrohungen umfassen also auch den Bereich Codecs, die eine weitere Möglichkeit darstellen, auf illegale Weise Profit aus ahnungslosen Benutzern zu schlagen. Eine alternative Methode, Benutzer zu gefährlichen Aktionen zu veranlassen, sind Phishing-E-Mails.

TROJ_SMITFRAUD.A beispielsweise verändert eine Windows DLL-Datei (Dynamic Link Library) und lädt einen Spyware-Trojaner herunter, der den Netzwerkverkehr überwacht (siehe Punkt 5 oben).

"Die meisten dieser Angriffe sind Codec-basiert", erläutert Jamz.

"Früher konnte der Benutzer nach dem Download der Videodateien die Erweiterung in .AVI oder .WMV umbenennen. Heutzutage aber erkennt der Windows Media Player die Dateitypen und führt gemäß der .ASF- oder .ASX-Datei Aktionen aus. Dabei handelt es sich in der Regel um betrügerische Aktivitäten. Mit der steigenden Anzahl von Online-Benutzern und ihren Aktivitäten werden auch diese Bedrohungsarten weiter zunehmen."