Panda Security warnt vor neuer Malware auf kostenloser IP-Telefonie-Software Skype

Skype-Würmer sind nicht neu. Sie funktionieren immer auf dieselbe Art und Weise: Jemand auf Ihrer Freundesliste wurde infiziert und schickt Ihnen nun einen Link zu einem „lustigen Bild“ oder zu persönlichen Fotos. Jetzt macht eine neue Variante die Runde: Die Malware W32/Skyper.A.worm ködert seine Opfer mit Hilfe eines Videos.

skype-worm_Bild 2

Lol! Sieht so aus, als würde ein cooles, neues Video von Dir die Runde machen.

Wenn man dem (überhaupt nicht schädlich aussehenden) Link folgt, bekommt man ein Video. Aber zuerst wird man aufgefordert, ein Plug-In herunterladen:

malicious-link_Bild 3

 

 

 

 

 

Wenn man auf Install plugin klickt, wird eine neue Datei namens ‚setup.exe‘ heruntergeladen. Eigentlich ist es nur ein selbstentpackendes Archiv, das eine Datei mit dem Namen ‚setup_BorderlineRunner_142342569355180.exe‘ enthält.

Wenn die Datei setup.exe ausgeführt wird, sehen Sie folgendes Pop-up-Fenster:

skypefall-setup_Bild 4

 

 

 

 

 

 

 

 

Es sieht fast so aus, als würde man eine seriöse Software installieren: SkypeFall Version 1.0. Aber nur fast.

Wenn Sie nun im Installationsassistenten wiederholt auf ‚Next‘ klickt, scheint nicht viel zu passieren, doch im Hintergrund geschieht eine ganze Menge:

skype-setup-wizard_Bild 5

 

 

 

 

Eine neue Datei mit dem Namen ‚SkypeFall.exe‘ wird abgelegt und eine neue DLL wird registriert. Anschließend sind zwei neue Prozesse im Speicher aktiv: SkypeFall.exe und rundll32.exe, wobei letztere tatsächlich die DLL BorderlineRunner.dll startet. Ein neuer Service wird ebenfalls registriert: HKLM\System\CurrentControlSet\Services\6b57ae94

Danach werden Sie all Ihren Freunden eine Spam-Mail schicken mit jeweils derselben Nachricht, die diesem Muster folgt:

Lol!!! {fullname} Video: [Link von Panda Security entfernt]

Wir haben diese Malware entdeckt als:

W32/Skyper.A.worm

IOCs (Input/Output Control System)

Domänen:

hxxp://24onlineskyvideo.info
hxxp://24videotur.in.ua
hxxp://deepskype.net
hxxp://factorygood.net
hxxp://ironskype.net
hxxp://letitskype.info
hxxp://letskype.net
hxxp://popskypevideo.net
hxxp://popvideoskype.com
hxxp://popvideoskype.info
hxxp://popvideoskype.net
hxxp://skypepopvideo.net
hxxp://skypepopvideo.net
hxxp://skyvideo24.in.ua
hxxp://skyvideo24online.in.ua
hxxp://skyvideo24online.ru
hxxp://skyvideotape.in.ua
hxxp://skyvideotape.ru
hxxp://someskype.com
hxxp://someskype.net
hxxp://techine.info
hxxp://techine.net
hxxp://videosk.in.ua
hxxp://videosk.info
hxxp://videoskype.ru
hxxp://videoskype24.ru
hxxp://videoss.in.ua

Hashes (SHA1):

b6f690849e9ed71b3f956078934da5ed88887aa3
42c685ac60555beaacd5e07d5234a6600845e208
dfb9bfb274e9df857bb0fae02ba711e62a2a9eb6
726db7f1c956db8c5e94d21558c

Wie meidet man die Malware W32/Skyper.A.worm?

Klicken Sie nie auf unbekannte Links, vor allem wenn Ihnen ein Freund eine Nachricht schickt, in der es heißt, dass Fotos oder Videos von Ihnen im Umlauf sind. Wenn Sie wirklich neugierig sind, fragen Sie immer zuerst, worum es sich handelt.

Lassen Sie sich nicht von bekannten Icons oder echt-aussehenden Dateibeschreibungen täuschen. Diese können ganz leicht gefälscht werden.

Auch wenn Sie auf den Link geklickt haben und zunächst nicht misstrauisch sind, sollten Sie es werden, wenn keine Bilder zu sehen sind sondern stattdessen eine EXE-Datei angezeigt und heruntergeladen wird.