3wPlayer

Aus MARJORIE-WIKI
Wechseln zu: Navigation, Suche
Screenshot

Der 3wPlayer ist ein vermeintlicher Mediaplayer, der zusammen mit Trojanern ausgeliefert wird, welche Windows-Betriebssysteme von Microsoft infizieren.

Inhaltsverzeichnis

Beschreibung[Bearbeiten]

3wPlayer wurde so programmiert, dass Benutzer, die Videodateien heruntergeladen haben, angewiesen werden das Programm herunterzuladen und zu installieren. Der 3wPlayer benutzt somit eine Form des Social Engineering, um Computer zu infizieren. Vermeintlich interessante Videodateien, z. B. aktuelle Filme werden auf Tauschbörsen wie BitTorrent oder anderen veröffentlicht. Diese Dateien ähneln normalen AVI-Dateien, sie wurden jedoch so konstruiert, dass mit den meisten Wiedergabeprogrammen eine Nachricht angezeigt wird, die den Benutzer dazu auffordert auf die Website des 3wPlayers zu gehen und Software herunterzuladen, um das Video anzuschauen. Das Programm ist mit Malware versehen, die diverse unerwünschte Effekte hervorruft. Es wurde behauptet, dass die Idee zum 3wPlayer von der MPAA stammt, aber bis zum heutigen Zeitpunkt gibt es darüber keine Beweise. Es steht freilich auch kein Autor auf der Website.

Der 3wPlayer ist mit dem Trojaner Trojan.Win32.Obfuscated.en infiziert, der in der Regel ohne Benutzereingriffe unter Ausnutzung von Sicherheitslöchern auf den Systemen installiert wird, und der die Sicherheit eines Systems aufs Höchste gefährdet. Zu den Risiken zählen das Öffnen von illegalen Netzwerkverbindungen, das Deaktivieren von Sicherheitssoftware, das Verändern von Systemdateien und das Installieren weiterer Malware. Er benutzt polymorphe Taktiken der Selbstmutation, um unerkannt zu bleiben. Zusätzlich sammelt der Trojaner Informationen, um Rückschlüsse auf Personen zu finden (ohne Einverständnis des Benutzers) und er verlangsamt das System und macht es unstabil.[1]

Es gibt ein Perl-Skript, das 3wPlayer-AVIs entschlüsseln kann. Diese Behauptung wurde bisher mit unterschiedlichen Ergebnissen getestet. Meistens ist das entschlüsselte AVI[2] dann nicht der erwartete Film.

Antivirus-Software kann zur Entfernung der Trojaner und Viren, die von 3wPlayer abstammen, benutzt werden.

DivoCodec[Bearbeiten]

Der DivoCodec oder Divo Codec wurde ebenfalls als ein Virus ähnlich dem 3wPlayer identifiziert. Auch hier sollen die Benutzer einen Codec herunterladen, um eine AVI-Datei anschauen zu können. Diese gefälschten AVI-Dateien sind leicht an Ihrer Länge zu erkennen. Oft sind die Filme nur 3 bis 12 Sekunden lang. Hieran lässt sich erkennen, dass sie außer der Werbung keinen Film enthalten, obwohl sie in der Regel eine Dateigröße haben, die anderes vermuten lässt.

Anstatt Codecs zu installieren, installiert DivoCodec Malware auf dem System des Benutzers. Der DivoCodec ist polymorph und kann seine Struktur verändern. Auch soll er in den virtuellen Speicher eines anderen Prozesses hereinschreiben können (process hijacking).[3]

DomPlayer[Bearbeiten]

Auch der DomPlayer ist wie der DivoCodec und der 3wPlayer ein Trojaner.

Dateien und Prozesse, die 3wPlayer-anfällig sind[Bearbeiten]

  •  %ProgramFiles%\3wPlayer\settings.ini
  •  %ProgramFiles%\3wPlayer\settings.stp
  •  %ProgramFiles%\3wPlayer\SkinCrafterDll.dll
  •  %ProgramFiles%\3wPlayer\skins\Stylish.skf
  •  %ProgramFiles%\3wPlayer\test.gif
  •  %ProgramFiles%\3wPlayer\unins000.dat
  •  %ProgramFiles%\3wPlayer\unins000.exe
  • C:\Documents and Settings\All Users\Start Menu\Programs\3wPlayer\3wPlayer.lnk
  • C:\Documents and Settings\*USERNAME*\Local Settings\Temp\Temporary Internet Files\Content.IE5\%ProgramFiles%\3wPlayer\3wPlayer.exe
  • C:\Documents and Settings\*USERNAME*\Local Settings\Temp\Temporary Internet Files\Content.IE5\%ProgramFiles%\3wPlayer\minime.exe
  • C:\Documents and Settings\*USERNAME*\Application Data\Play About\BatBurnDefault.exe
  • C:\Documents and Settings\*USERNAME*\Application Data\Play About\poke dale mail.exe
  • C:\Documents and Settings\*USERNAME*\Application Data\Play About\wpmhjiea.exe
  • C:\Documents and Settings\*USERNAME*\Local Settings\Temp\Temporary Internet Files\Content.IE5\
  • C:\Documents and Settings\*USERNAME*\Application Data\"something stupid"\mp3 roam.exe

Diese Dateien können nur im abgesicherten Modus von Windows gelöscht werden, denn dort sind Sie dann aktuell unbenutzt.

Einzelnachweise[Bearbeiten]

Weblinks[Bearbeiten]