Skype
Neuer Wurm versendet vorgebliche Foto-Links
Ein neuer Wurm breitet sich derzeit über die Chat-Funktion von Skype aus. Er versendet Web-Links zu scheinbaren Bilddateien, die jedoch einen schädlichen Bildschirmschoner auf die Festplatte schaufeln.
Skype, Anbieter der gleichnamigen Telefonie-Software, warnt auf seiner Statusseite vor einem neuen Wurm, der seit Montag innerhalb der Skype-Gemeinde sein Unwesen treibt. Der von Antivirus-Herstellern mit sehr unterschiedliche Namen (siehe Tabelle) bedachte Wurm schickt über die Chat-Funktion von Skype Links zu zwei verschiedenen Web-Adressen, die beide mit dem Dateinamen "dsc027.jpg" enden.
Wer einen solchen Link anklickt, erhält nach einer automatischen Umleitung eine Download-Aufforderung für eine Datei namens "dsc027.scr". Dateien mit der für Bildschirmschoner vorgesehenen Endung SCR werden von Windows wie EXE-Dateien behandelt, wenn sie zum Beispiel per Doppelklick aufgerufen werden.
Das herunter geladene Schadprogramm zeigt in beiden Versionen den zu Windows gehörenden Desktop-Hintergrund "Seifenblasen" an. Währenddessen setzt es den Skype-Status von "online" auf "beschäftigt" und versendet seine Links an die gespeicherten Kontakte. Dabei verwendet er kurze Einzeiler als Köder, so zum Beispiel "what ur friend name wich is in photo ?", "your photos looks realy nice" oder "really funny". Er hat dazu Textbausteine in englischer, lettischer und russischer Sprache zur Verfügung.
Außerdem modifizierte der Wurm die HOSTS-Datei (meist in C:\Windows\drivers\etc zu finden) so, dass verschiedene Antivirus-Websites nicht mehr erreichbar sind und versucht Antivirus-Programme zu deaktivieren. Der Schädling kopiert sich mit Dateinamen wie "mshtmldat32.exe", "sdrivew32.exe", "winlgcvers.exe" oder "wndrivs32.exe" in das System32-Verzeichnis von Windows.
Er erzeugt mehrere Registry-Einträge, die zum automatischen Aufruf des Wurms beim Start von Windows dienen. Ferner kopiert er sich als "game.exe" auf USB-Sticks und andere Wechselmedien und lädt weitere Malware aus dem Internet nach.
Die Erkennung beider Wurm-Varianten durch Antivirus-Software ist bislang noch lückenhaft, wird jedoch langsam besser:
| Antivirus | Malware-Name (1) | Malware-Name (2) |
|---|---|---|
| AntiVir | TR/Biski.A | Worm/Skipi.C |
| Avast! | Win32:Persky [Trj] | Win32.HLLW.Crazy.A |
| AVG | I-Worm/Stration.ESP | --- |
| A-Squared | --- | --- |
| Bitdefender | Win32.HLLW.Crazy.A | --- |
| ClamAV | Worm.Skipi | Worm.Skipi-1 |
| Command AV | --- | --- |
| Dr Web | Win32.HLLW.Crazy | Win32.HLLW.Crazy |
| eSafe | Trojan/Worm [100] | Trojan/Worm [100] |
| eTrust | Win32/Pykse.D | --- |
| Ewido | --- | --- |
| F-Prot | --- | --- |
| F-Secure | Worm.Win32.Skipi.b | Worm.Win32.Skipi.c |
| Fortinet | W32/Stration.MA!tr.dldr (W32/Skipi.B!worm)* | --- |
| Ikarus | --- | --- |
| Kaspersky | Worm.Win32.Skipi.b | Worm.Win32.Skipi.c |
| McAfee | --- (W32/Pykse.worm.b) | --- (W32/Pykse.worm.b)* |
| Microsoft | Worm:Win32/Pykspa.A | --- |
| Nod32 | Win32/Persky.G worm | Win32/Persky.J worm |
| Norman | --- | --- |
| Panda | --- (W32/Skipi.A.worm) | --- |
| QuickHeal | --- | --- |
| Rising AV | Worm.IM.Win32.SkyPe.a | Worm.IM.Win32.SkyPe.a |
| Sophos | Mal/Behav-103 | Mal/Behav-103 |
| Spybot S&D | --- | --- |
| Sunbelt | --- | --- |
| Symantec | W32.Pykspa.D | --- |
| Trend Micro | WORM_SKIPI.A | --- |
| VBA32 | --- | --- |
| VirusBuster | --- | --- |
| WebWasher | Trojan.Biski.A | Worm.Skipi.C |
| GData AVK 2007 ** | Worm.Win32.Skipi.b | Worm.Win32.Skipi.c |
Quelle: AV-Test, Stand: 11.09.2007, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
