17.04.2007, 15:36

Frank Ziemann

Skype: Neuer Wurm entdeckt

Ein neuer Wurm ist aufgetaucht, der das VoIP-Programm Skype für seine Verbreitung nutzt. Mit Hilfe der Skype-API sendet er Links an alle Kontakte, die gerade online sind.

Die Möglichkeiten von Instant Messengern (IM) über eine dokumentierte API (Programmierschnittstelle) Erweiterungen von Drittanbietern einzubinden, wird zunehmend auch von Malware-Programmierern ausgenutzt. Jetzt meldet der finnische Antivirus-Hersteller F-Secure die Entdeckung eines neuen Wurms, der sich über die IM-Funktionen von Skype verbreitet.
Der Schädling wird von F-Secure und Kaspersky als "IM-Worm:W32/Pykse.A" bezeichnet. McAfee nennt ihn "W32/Pykse.worm.a", bei Symantec heißt er "W32.Pykspa.A". Er sendet eine Nachricht an alle Kontakte, die online sind. Darin ist einer von mehreren Links zu Websites mit einem vermeintlichen JPG-Bild enthalten.
Wird der Schädling ausgeführt, legt er die versteckten und schreibgeschützten Dateien "Invisible002.dll" und "Skype.exe" im System32-Verzeichnis von Windows an. Letztere trägt er in die Registry ein, damit sie bei jedem Windows-Start geladen wird:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"SkypeStartup" = "%System%\Skype.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"SkypeStartup" = "%System%\Skype.exe"
Außerdem registriert er die DLL als BHO (Browser Helper Object) im Internet Explorer, sodass sie bei jedem Aufruf des Browser mit geladen wird. Dann zeigt ein Foto einer spärlich bekleideten jungen Dame an und beginnt mit dem Versand der Nachrichten an die Skype-Kontakte des Anwenders. Ferner setzt er den Online-Status des Skype-Benutzers auf "Beschäftigt", sodass Skype keine ankommenden Anrufe oder Nachrichten meldet.
Erkennung durch Antivirus-Software:
Antivirus Malware-Name
AntiVir Worm/Pykse.A.13
Avast! Win32:Pykse-C [Trj]
AVG I-Worm/Generic.BCH
Bitdefender Win32.IMWorm.Pykse.B
ClamAV ---
Command AV W32/Pykse.C
Dr Web DLOADER.Trojan
eSafe ---
eTrust ---
Ewido Worm.Pykse.a
F-Prot W32/Pykse.C
F-Secure IM-Worm.Win32.Pykse.a
Fortinet W32/Pykse.A!worm.im
Ikarus IM-Worm.Win32.Pykse.a
Kaspersky IM-Worm.Win32.Pykse.a
McAfee W32/Pykse.worm.a
Microsoft ---
Nod32 ---
Norman ---
Panda --- (W32/Pykser.A.worm)*
QuickHeal ---
Rising AV Worm.IM.Skype.a
Sophos ---
Symantec W32.Pykspa.A
Trend Micro ---
VBA32 ---
VirusBuster Worm.Pykse.Gen
WebWasher Worm.Pykse.A.13
GData AVK 2007 ** IM-Worm.Win32.Pykse.a
Quelle: AV-Test, Stand: 18.04.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
93082
Content Management by InterRed