121492

Neuer Wurm versendet vorgebliche Foto-Links

11.09.2007 | 14:25 Uhr |

Ein neuer Wurm breitet sich derzeit über die Chat-Funktion von Skype aus. Er versendet Web-Links zu scheinbaren Bilddateien, die jedoch einen schädlichen Bildschirmschoner auf die Festplatte schaufeln.

Skype, Anbieter der gleichnamigen Telefonie-Software, warnt auf seiner Statusseite vor einem neuen Wurm, der seit Montag innerhalb der Skype-Gemeinde sein Unwesen treibt. Der von Antivirus-Herstellern mit sehr unterschiedliche Namen (siehe Tabelle) bedachte Wurm schickt über die Chat-Funktion von Skype Links zu zwei verschiedenen Web-Adressen, die beide mit dem Dateinamen "dsc027.jpg" enden.

Wer einen solchen Link anklickt, erhält nach einer automatischen Umleitung eine Download-Aufforderung für eine Datei namens "dsc027.scr". Dateien mit der für Bildschirmschoner vorgesehenen Endung SCR werden von Windows wie EXE-Dateien behandelt, wenn sie zum Beispiel per Doppelklick aufgerufen werden.

Das herunter geladene Schadprogramm zeigt in beiden Versionen den zu Windows gehörenden Desktop-Hintergrund "Seifenblasen" an. Währenddessen setzt es den Skype-Status von "online" auf "beschäftigt" und versendet seine Links an die gespeicherten Kontakte. Dabei verwendet er kurze Einzeiler als Köder, so zum Beispiel "what ur friend name wich is in photo ?", "your photos looks realy nice" oder "really funny". Er hat dazu Textbausteine in englischer, lettischer und russischer Sprache zur Verfügung.

Außerdem modifizierte der Wurm die HOSTS-Datei (meist in C:\Windows\drivers\etc zu finden) so, dass verschiedene Antivirus-Websites nicht mehr erreichbar sind und versucht Antivirus-Programme zu deaktivieren. Der Schädling kopiert sich mit Dateinamen wie "mshtmldat32.exe", "sdrivew32.exe", "winlgcvers.exe" oder "wndrivs32.exe" in das System32-Verzeichnis von Windows.

Er erzeugt mehrere Registry-Einträge, die zum automatischen Aufruf des Wurms beim Start von Windows dienen. Ferner kopiert er sich als "game.exe" auf USB-Sticks und andere Wechselmedien und lädt weitere Malware aus dem Internet nach.

Die Erkennung beider Wurm-Varianten durch Antivirus-Software ist bislang noch lückenhaft, wird jedoch langsam besser:

Antivirus

Malware-Name (1)

Malware-Name (2)

AntiVir

TR/Biski.A

Worm/Skipi.C

Avast!

Win32:Persky [Trj]

Win32.HLLW.Crazy.A

AVG

I-Worm/Stration.ESP

---

A-Squared

---

---

Bitdefender

Win32.HLLW.Crazy.A

---

ClamAV

Worm.Skipi

Worm.Skipi-1

Command AV

---

---

Dr Web

Win32.HLLW.Crazy

Win32.HLLW.Crazy

eSafe

Trojan/Worm [100]

Trojan/Worm [100]

eTrust

Win32/Pykse.D

---

Ewido

---

---

F-Prot

---

---

F-Secure

Worm.Win32.Skipi.b

Worm.Win32.Skipi.c

Fortinet

W32/Stration.MA!tr.dldr (W32/Skipi.B!worm)*

---

Ikarus

---

---

Kaspersky

Worm.Win32.Skipi.b

Worm.Win32.Skipi.c

McAfee

--- (W32/Pykse.worm.b)

--- (W32/Pykse.worm.b)*

Microsoft

Worm:Win32/Pykspa.A

---

Nod32

Win32/Persky.G worm

Win32/Persky.J worm

Norman

---

---

Panda

--- (W32/Skipi.A.worm)

---

QuickHeal

---

---

Rising AV

Worm.IM.Win32.SkyPe.a

Worm.IM.Win32.SkyPe.a

Sophos

Mal/Behav-103

Mal/Behav-103

Spybot S&D

---

---

Sunbelt

---

---

Symantec

W32.Pykspa.D

---

Trend Micro

WORM_SKIPI.A

---

VBA32

---

---

VirusBuster

---

---

WebWasher

Trojan.Biski.A

Worm.Skipi.C

GData AVK 2007 **

Worm.Win32.Skipi.b

Worm.Win32.Skipi.c


Quelle: AV-Test , Stand: 11.09.2007, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
121492