Skype-Wurm breitet sich schnell aus

Originalartikel von Rik Ferguson, Director of Security Research & Communication

Wieder einmal ist es Montagmorgen und wir beginnen trüben Auges die neue Woche. Die Kriminellen nutzen unsere Trägheit nach dem Wochenende aus und starten eine Kampagne zur Verbreitung von Schadsoftware über Skype.

Viele Nutzer haben bereits darüber berichtet, Nachrichten von Freunden aus ihrer Skype-Kontaktliste erhalten zu haben. Mittels Social Engineering erstellte Nachrichten sind sowohl auf Englisch als auch auf Deutsch gesichtet worden. Die Inhalte lauten:

“lol is this your new profile pic? h__p://goo.gl/{BLOCKED}5q1sx?img=username”

oder

“moin, kaum zu glauben was für schöne fotos von dir auf deinem profil h__p://goo.gl/{BLOCKED}5q1sx?img=username”

Unabhängig von der verwendeten Sprache ist der Link immer der gleiche, obwohl das natürlich einfach geändert werden könnte. Die Kurz-URL leitet schließlich zu einem Download auf hotfile.com um. Von dort wird ein Archiv mit der Bezeichnung „Skype_todaysdate.zip“, die eine einzige ausführbare Datei gleichen Namens enthält, heruntergeladen.

Die ausführbare Datei installiert eine Variante des Dorkbot-Wurms, die als WORM_DORKBOT.IF oder WORM_DORKBOT.DN entdeckt wird. Dieser löst nach der Installation anscheinend in großem Stil Click-fraud-Aktivitäten auf jedem infizierten System aus und fügt dieses einem Botnetz hinzu.

Außerdem stehen diese Dorkbot-Varianten Benutzernamen und Passwörter für eine ganze Reihe an Websites, darunter Facebook, Twitter, Google, PayPal, NetFlix und viele andere. Sie können in die DNS-Auflösung eingreifen, iFrames in Webseiten einschleusen, drei verschiedene DDoS-Attacken ausführen, als Proxy-Server dienen und auf Anweisung der Botnetz-Hintermänner weitere Schadsoftware herunterladen und installieren. Dies sind nur einige der Funktionalitäten dieses gefährlichen Wurms. In den ersten 24 Stunden seit Entdeckung hat Trend Micro mehr als 2.800 damit in Verbindung stehende Dateien geblockt.

Bei einigen Infektionen wird eine Ransomware-Variante installiert, welche die Anwender von der weiteren Benutzung ihrer Rechner ausschließt und ihnen mitteilt, dass ihre Dateien verschlüsselt wurden und diese gelöscht würden, falls die unglücklichen Opfer nicht innerhalb von 48 Stunden jeweils 200 US-Dollar Strafe zahlen.

Die Schadsoftware wird zurzeit noch untersucht und TrendLabs hat erste Untersuchungsergebnisse veröffentlicht. Allen sei empfohlen, niemals auf unaufgefordert zugeschickte Links zu klicken.

4 Gedanken zu „Skype-Wurm breitet sich schnell aus

  1. Pingback: Warnung: Gefährlicher Wurm verbreitet sich per Skype und Live-Messenger | ZooMumba-Fans

  2. Pingback: Warnung: Gefährlicher Wurm verbreitet sich per Skype und Live-Messenger | Farmerandfriends.de – Die unabhängige Farmeramafanseite

  3. Pingback: Warnung: Gefährlicher Wurm verbreitet sich per Skype und Live-Messenger | Skyrama-fans.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*