Skype-Wurm unterwegs [Update]

Ein Wurm verbreitet sich derzeit über Skype, der auf infizierten Rechnern vertrauliche Daten ausspäht.

In Pocket speichern vorlesen Druckansicht 248 Kommentare lesen
Lesezeit: 3 Min.
Von

"look what crazy photo Tiffany sent to me,looks cool" – Nutzer der Internet-Telefonie-Software Skype können laut einer Warnung des Herstellers solche und ähnliche Nachrichten erhalten, in denen ein Link enthalten ist, der auf einen Schädling verweist. Führt ein Anwender den Schädling aus, deaktiviert der Wurm diverse Antivirenlösungen, blockiert die Update-Server der Antivirenprogramme durch Einträge in der Hosts-Datei und installiert einen Trojaner, der anschließend Daten auf dem Rechner ausspäht. Außerdem verschickt er Nachrichten an die Kontakte in der Skype-Kontaktliste, um sich weiterzuverbreiten.

Der Wurm kann Nachrichten in mehreren Sprachen verschicken. Der Link verweist dabei auf ein vermeintliches Bild. Folgt der Anwender dem Link, wird ihm jedoch eine scr-Datei angeboten; dabei handelt es sich um ausführbare Dateien, die Windows als Screensaver ausführt. Im Internet Explorer erhält der Anwender die Möglichkeit, die Datei direkt auszuführen oder abzuspeichern. Um seine Schadroutinen zu verbergen, zeigt der Wurm das Bild Soap Bubbles.bmp an, das auf den meisten Windows-Installationen vorhanden ist – auf deutschen Systemen heißt die Datei jedoch Seifenblase.bmp.

Skype zufolge stellen die Antivirenhersteller nach und nach Signaturen bereit, mit denen der Schädling W32.Pykspa.D (Symantec), W32/Skipi.A (F-Secure) beziehungsweise w32/Ramex.A erkannt wird. Für technisch versiertere Nutzer stellt Skype auch eine manuelle Entfernungsmethode in seiner Sicherheitsmeldung vor. Symantec schätzt den Verbreitungsgrad des Wurms in seiner Schädlingsanalyse bislang als gering ein.

Für Instant-Messaging-Anwendung gilt wie für E-Mails, dass Anwender unerwartete Links in Nachrichten – insbesondere von fremden und unbekannten Personen – besser nicht folgen sollten. Weitere Hinweise zum Schutz vor Infektionen mit digitalen Schädlingen liefern die Antiviren-Seiten von heise Security.

Update:

Das Problem von Skype bei der Verarbeitung von speziellen URIs, das unter anderem auch Firefox und weitere Anwendungen betrifft und durch das Angreifer beziehungsweise Schädlinge mit präparierten Links Programme auf dem Rechner mit Parametern aufrufen können, besteht noch immer. w32/Ramex.A nutzt sie bislang jedoch nicht aus. Auf den Hinweis von heise Security hin haben die Skype-Entwickler das Problem untersucht und stufen es als Fehler von Windows ein. Die Programmierer haben nach Auskunft des Unternehmens aber möglicherweise eine einfache Methode gefunden, den Fehler zu beheben, und wollen damit gegebenenfalls die nächste Skype-Version absichern.

Siehe dazu auch:

(dmk)