В субботу началось активное распространение червя преимущественно через Skype, а также и через Messenger (Windows Messenger, Microsoft MSN Messenger).
Зараженные данным червем рассылали следующие сообщения:
Ссылка ведет на goo.gl - сервис Google URL Shortener. Вы будете перенаправлены на сайт Hotfile.com, который является легитимным веб-сервисом обмена файлами (кстати, это не в первый раз, когда Hotfile используется для распространения вредоносных программ, читайте
здесь)
Положительным моментом является то, что мы имеем дело с ZIP-файлом, а не с файлом EXE. Это означает, что пользователь по-прежнему должен вручную распаковать и запустить вредоносную программу. Внутри нашего ZIP-файла мы нашли следующий файл, который выглядит как файл установки Skype:
При выполнении данного файла в папку % appdata % у текущего подключенного пользователя будет записан другой файл (EXE-файл, в названии которого используются 4 случайных символа):
Данный файл попытается подключиться к
api . wipmania . com, ожидая дальнейших инструкций. Кроме того, он пытается подключиться к следующим IP-адресам:
74.208.112.178 – IPVoid
Result
87.106.98.157 – IPVoid
Result
199.15.234.7 – IPVoid
Result
213.165.71.142 – IPVoid
Result
213.165.71.153 – IPVoid
Result
217.160.108.147 – IPVoid
Result
Теперь узнаем, как данная угроза распространяется, и какие сообщения она будет показывать. Файл, извлеченный из ZIP-архива (
skype _05102012_ image . exe ),запускает следующие процессы:
msnmsgr . exe msmsgs . exe skype . exe
Затем угроза будет автоматически отправлять сообщение, основанное на языке операционной системы. Используется следующий список сообщений для распространения:
tas ir jusu jauna profila bildes ?
seo do grianghraf prl nua ?
ont uusi profiilikuva ?
nai aft a fotografa profl sas ?
sa kvo profili lusankary aquesta s la teva nova foto de perfil ?
hey ito sa iyong larawan sa profile ?
hey lanh tieu cua ban ?
hey ini foto profil ?
hei zhni de gn zilio zhopin ma ?
ni phaph porfil khxng khun ?
hej er det din nye profil billede ?
hej je to vasa nova slika profila ?
hej je to tvuj nov obr zek profilu ?
hei er dette din nye profil bilde ?
hey la tua immagine del profilo nuovo ?
hej to jest twj nowy obraz profil ?
hej jeli ovo vasa nova profil skila ?
hey bu yeni profil pic ?
hej detta ä r din nya profilbild ?
tung , cka paske lyp ti nket fotografi ?
moin , kaum zu glauben was f ü r sch ö ne fotos von dir auf deinem profil hey is dit je nieuwe profielfoto ?
ez az j profil ksta tu foto de perfil nuevo ?
hey essa sua foto de perfil ? rsrsrsrsrsrsrs hey c ’ est votre nouvelle photo de profil ?
hoi schoni fotis hesch du uf dim profil ppe n lol is this your new profile pic ?
Затем угроза добавит ссылку и Ваше имя пользователя после значка равно ‘=’:
http://goo.gl/QYV5H? =
Вредоносная программа идентифицируется Panda в качестве червя W32/SpySkype.G.worm, который распространяется через съемные устройства, программы обмена мгновенными сообщениями, а также социальные сети. Некоторые его варианты могли получить имена пользователей и пароли, а также блокировать веб-сайты, связанные с обновлениями систем безопасности. Также угроза может запустить ограниченную атаку
на отказ в обслуживании (DoS).
На наших тестовых машинах не было загружено дополнительного программного обеспечения даже после того, как мы повторили процедуру несколько раз. Хотя могут быть загружены некоторые варианты вредоносных программ, такие как вымогатели, мошенническое ПО и т.п.
Вывод
Черви, распространяемые через Facebook, Twitter, а также через IRC, MSN и Skype уже давно не в новинку. Тем не менее, они остаются эффективными, т.к. очень часто человеческое любопытство берет свое:
«Действительно ли на данном веб-сайте размещены мои откровенные фотки? Надо проверить…»
Ни в коем случае!
Никогда не нажимайте на неизвестные ссылки, особенно в тех случаях, когда используется какой-либо сервис с укороченными ссылками, такой как goo . gl. (есть еще другие сервисы, например, t . co, bit . ly, tinyurl и т.д.)
Не позволяйте обмануть себя известными иконками или «легитимными» описаниями файла, т.к. это легко может быть изменено.
Даже если Вы нажали на ссылку, и при этом не происходит ничего подозрительного, все равно оставайтесь начеку, потому что странно, если загрузился файл, но не показывается никакая картинка, а особенно будьте подозрительны по отношению к EXE-файлу.
Чтобы проверить, что же в действительности происходит после обращения к короткому URL, Вы можете воспользоваться следующими сервисами:
http://longurl.org/
Всегда поддерживайте Ваш антивирус в обновленном состоянии. Здесь Вы можете найти бесплатную 6-месячную пробную версию
Panda Cloud Antivirus Pro.
Я хочу поблагодарить за помощь нашего коллегу Барта Пэриса (Bart Parys)
http://www.twitter.com/bartblaze, (Panda Security Benelux)
Автор -
Luis Corrons
Оригинал статьи -
Is it your new pic profile? No, it s a worm spreading through Skype and MessengerВ субботу началось активное распространение червя преимущественно через Skype, а также и через Messenger (Windows Messenger, Microsoft MSN Messenger).
Зараженные данным червем рассылали следующие сообщения:
Ссылка ведет на goo.gl - сервис Google URL Shortener. Вы будете перенаправлены на сайт Hotfile.com, который является легитимным веб-сервисом обмена файлами (кстати, это не в первый раз, когда Hotfile используется для распространения вредоносных программ, читайте
здесь)
Положительным моментом является то, что мы имеем дело с ZIP-файлом, а не с файлом EXE. Это означает, что пользователь по-прежнему должен вручную распаковать и запустить вредоносную программу. Внутри нашего ZIP-файла мы нашли следующий файл, который выглядит как файл установки Skype:
При выполнении данного файла в папку % appdata % у текущего подключенного пользователя будет записан другой файл (EXE-файл, в названии которого используются 4 случайных символа):
Данный файл попытается подключиться к
api . wipmania . com, ожидая дальнейших инструкций. Кроме того, он пытается подключиться к следующим IP-адресам:
74.208.112.178 – IPVoid
Result
87.106.98.157 – IPVoid
Result
199.15.234.7 – IPVoid
Result
213.165.71.142 – IPVoid
Result
213.165.71.153 – IPVoid
Result
217.160.108.147 – IPVoid
Result
Теперь узнаем, как данная угроза распространяется, и какие сообщения она будет показывать. Файл, извлеченный из ZIP-архива (
skype _05102012_ image . exe ),запускает следующие процессы:
msnmsgr . exe msmsgs . exe skype . exe
Затем угроза будет автоматически отправлять сообщение, основанное на языке операционной системы. Используется следующий список сообщений для распространения:
tas ir jusu jauna profila bildes ?
seo do grianghraf prl nua ?
ont uusi profiilikuva ?
nai aft a fotografa profl sas ?
sa kvo profili lusankary aquesta s la teva nova foto de perfil ?
hey ito sa iyong larawan sa profile ?
hey lanh tieu cua ban ?
hey ini foto profil ?
hei zhni de gn zilio zhopin ma ?
ni phaph porfil khxng khun ?
hej er det din nye profil billede ?
hej je to vasa nova slika profila ?
hej je to tvuj nov obr zek profilu ?
hei er dette din nye profil bilde ?
hey la tua immagine del profilo nuovo ?
hej to jest twj nowy obraz profil ?
hej jeli ovo vasa nova profil skila ?
hey bu yeni profil pic ?
hej detta ä r din nya profilbild ?
tung , cka paske lyp ti nket fotografi ?
moin , kaum zu glauben was f ü r sch ö ne fotos von dir auf deinem profil hey is dit je nieuwe profielfoto ?
ez az j profil ksta tu foto de perfil nuevo ?
hey essa sua foto de perfil ? rsrsrsrsrsrsrs hey c ’ est votre nouvelle photo de profil ?
hoi schoni fotis hesch du uf dim profil ppe n lol is this your new profile pic ?
Затем угроза добавит ссылку и Ваше имя пользователя после значка равно ‘=’:
http://goo.gl/QYV5H? =
Вредоносная программа идентифицируется Panda в качестве червя W32/SpySkype.G.worm, который распространяется через съемные устройства, программы обмена мгновенными сообщениями, а также социальные сети. Некоторые его варианты могли получить имена пользователей и пароли, а также блокировать веб-сайты, связанные с обновлениями систем безопасности. Также угроза может запустить ограниченную атаку
на отказ в обслуживании (DoS).
На наших тестовых машинах не было загружено дополнительного программного обеспечения даже после того, как мы повторили процедуру несколько раз. Хотя могут быть загружены некоторые варианты вредоносных программ, такие как вымогатели, мошенническое ПО и т.п.
Вывод
Черви, распространяемые через Facebook, Twitter, а также через IRC, MSN и Skype уже давно не в новинку. Тем не менее, они остаются эффективными, т.к. очень часто человеческое любопытство берет свое:
«Действительно ли на данном веб-сайте размещены мои откровенные фотки? Надо проверить…»
Ни в коем случае!
Никогда не нажимайте на неизвестные ссылки, особенно в тех случаях, когда используется какой-либо сервис с укороченными ссылками, такой как goo . gl. (есть еще другие сервисы, например, t . co, bit . ly, tinyurl и т.д.)
Не позволяйте обмануть себя известными иконками или «легитимными» описаниями файла, т.к. это легко может быть изменено.
Даже если Вы нажали на ссылку, и при этом не происходит ничего подозрительного, все равно оставайтесь начеку, потому что странно, если загрузился файл, но не показывается никакая картинка, а особенно будьте подозрительны по отношению к EXE-файлу.
Чтобы проверить, что же в действительности происходит после обращения к короткому URL, Вы можете воспользоваться следующими сервисами:
http://longurl.org/
Всегда поддерживайте Ваш антивирус в обновленном состоянии. Здесь Вы можете найти бесплатную 6-месячную пробную версию
Panda Cloud Antivirus Pro.
Я хочу поблагодарить за помощь нашего коллегу Барта Пэриса (Bart Parys)
http://www.twitter.com/bartblaze, (Panda Security Benelux)