Skpye: Malware verbreitet sich über Link zu angeblichem Foto

SicherheitVirus

Seit einigen Tagen erhalten Nutzer private Nachrichten mit einem Link, der angeblich zu einem Foto führt. Dahinter verbirgt sich allerdings eine ZIP-Datei mit einem Trojaner. Wird die Datei entpackt, schlägt der bekannte Wurm Dorkbot zu, öffnet eine Hintertür und lädt weitere Schadsoftware nach.

Skype-Nutzer erhalten seit einigen Tagen private Nachrichten mit einem Link auf Googles Kurz-URL-Dienst. Der Text lautet “lol is this your new profile pic?”; der Goo.gl-Link enthält den Vornamen des Anwenders. Dadurch hoffen die Cyberkriminellen, Anwender eher dazu zu bringen, dass ZIP-Archiv hinter dem Link herunterzuladen. Dieses enthält statt der angekündigten Fotos jedoch eine ausführbare Datei, die eine Variante des Wurms Dorkbot installiert und mittels des Exploit-Kits “Blackhole” eine Backdoor öffnet.

So können die Angreifer anschließend die Kontrolle über den Rechner des Skype-Nutzers übernehmen und eine Erpresser-Malware installieren. Diese sperrt den Computer mittels Passwort oder verschlüsselt private Daten und fordert 200 Dollar Lösegeld innerhalb von 48 Stunden. Andernfalls drohe die Löschung der Daten auf dem Rechner.

Laut dem Sicherheitsanbieter GFI bekommen Nutzer eines so infizierten Rechners einen Bildschirm mit einem Hinweis zu sehen, laut dem sie verbotene Websites besucht haben. Die aufgezählten Vorwürfe reichen von illegalen MP3-Downloads bis hin zu Kinderpornografie. Mit einem Programm namens “System Cleaner” würden die belastenden Daten an Strafverfolgungsbehörden übermittelt.

Darüber hinaus wird die Malware auch für Klickbetrug genutzt. Sie imitiert normales Nutzerverhalten und führt automatisch Klicks auf Anzeigen aus, mit denen die Malware-Autoren Geld verdienen. GFI hat in den ersten zehn Minuten der Infektion 2259 Übertragungen verzeichnet.

Auch Sophos-Experte Graham Clueley hat sich bereits mit der Malware beschäftigt. Er schreibt im Sophos-Blog, dass die bösartige ZIP-Datei bishe rals skype_06102012_image.zip oder skype_08102012_image.zip verbreitet wurde und sich nach dem Download im Verzeichnis %PROFILE%\Application Data\Jqfsfb.exe installiert.

Die Dorkbot-Attacke an sich, so Clueley weiter, sei nicht neu, sondern in der Vergangenheit auch schon über Facebook und Twitter vorgetragen worden. Gefährlich sei sie aber dennoch, da Nutzer seiner Einschätzung nach bei Skype weniger misstrauisch gegenüber unbekannten Links seien, als etwa bei Facebook.

Skype hat angekündigt, der Sache nachzugehen. Es empfiehlt, den Client und die auf dem Computer installierte Sicherheitssoftware auf dem neuesten Stand zu halten. “Wir sind über die schädlichen Aktivitäten informiert und arbeiten mit Hochdruck daran, ihre Auswirkungen abzumildern”, teilte die Microsoft-Tochter mit. Zudem weist sie darauf hin, dass Nutzer nie Links folgen sollten, die seltsam erscheinen – selbst wenn diese scheinbar von den eigenen Kontakten stammen.

Mit derselben Masche versuchen Cyberkriminelle auch in Deutschland, Computer über Skype zu infizieren. Hierzulande lautet die Nachricht “hallo, sag mal ehrlich sind das deine fotos?”. Folgen Nutzer dem enthaltenen Goo.gl-Link, gelangen sie zu einer manipulierten Webseite die Malware installiert. Ein infiziertes System versendet regelmäßig Spam an alle Kontakte, wie Nutzer im Skype-Forum berichten.

[mit Material von Björn Greif, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen