93082

Skype: Neuer Wurm entdeckt

17.04.2007 | 15:36 Uhr |

Ein neuer Wurm ist aufgetaucht, der das VoIP-Programm Skype für seine Verbreitung nutzt. Mit Hilfe der Skype-API sendet er Links an alle Kontakte, die gerade online sind.

Die Möglichkeiten von Instant Messengern (IM) über eine dokumentierte API (Programmierschnittstelle) Erweiterungen von Drittanbietern einzubinden, wird zunehmend auch von Malware-Programmierern ausgenutzt . Jetzt meldet der finnische Antivirus-Hersteller F-Secure die Entdeckung eines neuen Wurms, der sich über die IM-Funktionen von Skype verbreitet.

Der Schädling wird von F-Secure und Kaspersky als " IM-Worm:W32/Pykse.A " bezeichnet. McAfee nennt ihn " W32/Pykse.worm.a ", bei Symantec heißt er " W32.Pykspa.A ". Er sendet eine Nachricht an alle Kontakte, die online sind. Darin ist einer von mehreren Links zu Websites mit einem vermeintlichen JPG-Bild enthalten.

Wird der Schädling ausgeführt, legt er die versteckten und schreibgeschützten Dateien "Invisible002.dll" und "Skype.exe" im System32-Verzeichnis von Windows an. Letztere trägt er in die Registry ein, damit sie bei jedem Windows-Start geladen wird:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"SkypeStartup" = "%System%\Skype.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"SkypeStartup" = "%System%\Skype.exe"

Außerdem registriert er die DLL als BHO (Browser Helper Object) im Internet Explorer, sodass sie bei jedem Aufruf des Browser mit geladen wird. Dann zeigt ein Foto einer spärlich bekleideten jungen Dame an und beginnt mit dem Versand der Nachrichten an die Skype-Kontakte des Anwenders. Ferner setzt er den Online-Status des Skype-Benutzers auf "Beschäftigt", sodass Skype keine ankommenden Anrufe oder Nachrichten meldet.

Erkennung durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

Worm/Pykse.A.13

Avast!

Win32:Pykse-C [Trj]

AVG

I-Worm/Generic.BCH

Bitdefender

Win32.IMWorm.Pykse.B

ClamAV

---

Command AV

W32/Pykse.C

Dr Web

DLOADER.Trojan

eSafe

---

eTrust

---

Ewido

Worm.Pykse.a

F-Prot

W32/Pykse.C

F-Secure

IM-Worm.Win32.Pykse.a

Fortinet

W32/Pykse.A!worm.im

Ikarus

IM-Worm.Win32.Pykse.a

Kaspersky

IM-Worm.Win32.Pykse.a

McAfee

W32/Pykse.worm.a

Microsoft

---

Nod32

---

Norman

---

Panda

--- (W32/Pykser.A.worm)*

QuickHeal

---

Rising AV

Worm.IM.Skype.a

Sophos

---

Symantec

W32.Pykspa.A

Trend Micro

---

VBA32

---

VirusBuster

Worm.Pykse.Gen

WebWasher

Worm.Pykse.A.13

GData AVK 2007 **

IM-Worm.Win32.Pykse.a

Quelle: AV-Test , Stand: 18.04.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
93082