Adware-Epidemie aufgrund gefälschter MP3- und MPG-Dateien
McAfee berichtet von massenhaften Infektionen durch trojanische MP3- und MPG-Dateien aus Tauschbörsen, die den Anwendern zur Installation eines Players auffordern. Dahinter verbirgt sich jedoch Adware, die Werbung einblendet.
Der Antivirenhersteller McAfee berichtet in seinem Sicherheitsblog von massenhaften Infektionen mit Adware, die auf den Download gefälschter MP3- und MPG-Dateien aus Tauschbörsen zurückzuführen seien. Die von McAfee als Downloader-UA.h erkannten Dateien werden bereits seit einigen Tagen verbreitet, jedoch hätten sich alleine in den vergangenen 24 Stunden 120.000 Nutzer des Online-Virenscanners mit diesem Schädling infiziert – mehr als ein Viertel der insgesamt rund 440.000 seit dem Einpflegen der Signaturen damit erkannten Downloader-UA.h-Trojaner.
Die vermeintlichen Mediendateien tragen Namen wie preview-t-3545425-adult.mpg, preview-t-3545425-middle eastern chick.mpg, preview-t-3545425-theme godfather.mp3 oder t-3545425-suicide bride dana.mp3 und noch viele weitere. Zudem schwankt ihre Größe, da die gefälschten Dateien mit unterschiedlich vielen NULL-Zeichen aufgefüllt werden. Statt das erhoffte MPG-Filmchen oder die gewünschte Musikdatei zu genießen, werden die Nutzer beim Laden zum Download der Datei PLAY_MP3.exe geführt. Die Erkennung durch Antivirensoftware ist erfreulich gut: Außer F-Secure und Microsofts OneCare haben alle Virenscanner aus dem letzten c't-Virenscannertest diesem Plagegeist etwas entgegenzusetzen.
PLAY_MP3.exe installiert nach dem Abnicken einer Endbenutzer-Lizenz (EULA) die Datei PlayMP3.exe von PlayMP3z.biz, die eine Art Browser-Wrapper als ausführbare Datei darstellt, die wiederum den Wimpy MP3 Flash Player öffnet und darin einige Dutzend Lieder zum Anhören anbietet. Zudem erhält der Nutzer aber auch zwei Adware-Exemplare, auf die die EULA sogar hinweist: SurfingEnhancer und FBrowsingAdvisor, die öfter Popup-Werbung einblenden. Allerdings dürfte so gut wie kaum ein Anwender die EULA tatsächlich so weit studieren und sich daher unwissentlich die Werbesoftware einfangen.
Warum ausgerechnet in diesen Tagen so viele Anwender ihren Rechner mit der Adware verseucht haben, erklärt McAfee jedoch nicht. Zum Schutz vor dieser Adware-Infektion lässt sich im Virenscanner die Option zur Warnung vor "potenziell unerwünschter Software" aktivieren. Außerdem sollte man Dateien aus nicht vertrauenswürdigen Quellen meiden, da sie immer öfter Schwachstellen in den zugehörigen Programmen zum Einschleusen von Schadcode missbrauchen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Antiviren-Seiten von heise Security.
Siehe dazu auch:
- Fake MP3s Running Rampant, Meldung in McAfees Sicherheitsblog
(dmk)
