Skype-on keresztül fertőz a Skypii féreg
by Blake Dashed
2013. June 04. 10:10
A Skypii.A féreg Skype-on valamint a Windows Live Messenger alkalmazáson keresztül terjed számítógépről számítógépre. A magyar PC-ket sem kíméli.
A Skypii.A féreg kifejezetten azonnali üzenetküldő szolgáltatásokon való terjedésre specializálódott. A jelenlegi variánsa a Skype valamint a Windows Live Messenger alkalmazások felhasználóinak számítógépét veszélyezteti.
Az általa alkalmazott módszer korántsem ismeretlen. A károkozó ugyanis az üzenetküldő szoftverekből összegyűjti a címlistában szereplő adatokat, és minden ismerős számára egy-egy szöveges üzenetet juttat el. Az üzeneteinek nyelve azonban a megfertőzött Windows nyelvi beállításainak függvényében változhat. A magyar nyelvű operációs rendszert futtató PC-kről a következő üzeneteket képes továbbítani:
haha, deze zijn echt uw foto's?
haha, te vagy a képen?
hehehe, szia te vagy a képen?
hé ez a skype profilfotó?
Az általa alkalmazott módszer korántsem ismeretlen. A károkozó ugyanis az üzenetküldő szoftverekből összegyűjti a címlistában szereplő adatokat, és minden ismerős számára egy-egy szöveges üzenetet juttat el. Az üzeneteinek nyelve azonban a megfertőzött Windows nyelvi beállításainak függvényében változhat. A magyar nyelvű operációs rendszert futtató PC-kről a következő üzeneteket képes továbbítani:
haha, deze zijn echt uw foto's?
haha, te vagy a képen?
hehehe, szia te vagy a képen?
hé ez a skype profilfotó?
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Skypii.A az üzenetei mellé egy-egy kártékony weboldalra vagy fájlra mutató hivatkozást is elhelyez. Amennyiben a gyanútlan felhasználó erre rákattint, akkor a számítógépe azonnal megfertőződhet. A féreg többek között az alábbi domain neveket használja fel a terjedése során:
bit.ly
goo.gl
ht.ly
ow.ly
A Microsoft vizsgálatai szerint a Skypii.A nemcsak azonnali üzenetküldőkön keresztül juthat fel a számítógépekre, hanem egyéb kártékony programok hathatós közreműködésével is. Így például a Dorkbot trójai program egyes variánsai is terjesztik.
Önmagában a Skypii kizárólag a minél szélesebb körű terjedésre koncentrál, a jelenlegi variánsa nem végez egyéb kártékony műveleteket a számítógépeken.
Amikor a Skypii.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%APPDATA%\[véletlenszerű karakterek].exe
2. Feltérképezi, hogy a számítógépen található-e Skype vagy Windows Live Messenger alkalmazás.
3. Amennyiben igen, akkor összegyűjti a címlistákban szereplő személyek adatait.
4. A címlistákban szereplő személyeknek egy-egy üzenetet küld. Az üzenetek nyelve a megfertőzött Windows nyelvi beállításainak függvénye.
5. Az üzenetekben egy kártékony weboldalra mutató hivatkozást is elhelyez, amely a féreg további terjedését szolgálja
bit.ly
goo.gl
ht.ly
ow.ly
Forrás: Isidor