Skype-Wurm im Umlauf

Aktuell befindet sich ein Skype-Wurm im Umlauf, der sich aktuellen Nachrichten zufolge rasant verbreitet. Die Funktionsweise wird anhand eines sehr anschaulichen Bilds, das ursprünglich von Skype Journal veröffentlicht wurde, auf verständliche Weise verdeutlicht:

Zunächst erhält man also eine Nachricht von einem der eigenen Skype-Kontakte, die entweder

lol“ is this your new profile pic? http://goo.gl/[REDACTED]?img=[USERNAME]“

oder

„moin, kaum zu glauben was für schöne fotos von dir auf deinem profil h__p://goo.gl/{BLOCKED}5q1sx?img=username“

oder einer Variante hiervon entsprechen. Klickt man diesen Link an, so installiert sich der Wurm auch auf dem eigenen Recher, indem zunächst ein .zip File herunter geladen wird (das entweder „skype_06102012_image.zip“ oder „skype_08102012_image.zip“ heißt), das wiederum ausführbare Dateien enthält, die Spuren der Signaturen der Würmer „Troj/Agent-YCW“ oder „Troj/Agent-YDC“ (Bezeichnungen von Sophos‘ Anti-Virus-Produkten) enthalten.

Im Anschluss verschickt man selbst an die befreundeten Skype-Kontakte die Nachricht, so dass sich der Wurm weiter verbreitet.

Mehrere Blogs sehen die größte Gefahr in den nicht vorbereiteten Skype-Usern. Während mittlerweile viele Benutzer von Facebook, Twitter und anderen Web 2.0 Plattformen verstanden haben, dass man nicht jeden Link blindlinks anklicken sollte, gleicht dies für den meisten Skype-Nutzern einem Novum.

Weitere Folgen einer Infektion

Hat sich der Trojaner erstmal erfolgreich installiert, so erlaubt er es einem Hacker, Kontrolle über den infizierten PC zu übernehmen sowie mit dem Hacker via HTTP zu kommunizieren. Die Folge sind beispielsweise Nachrichten, die an den eigenen Computer gesendet werden und die besagen, dass die eigenen Dateien verschlüsselt wurden und gelöscht werden, wenn man nicht innerhalb der nächsten 48 Stunden eine Zahlung von 200,- $ leistet. Diesen Drohungen sollte kein Glauben geschenkt werden, die eigenen Dateien sind im Normalfall weiterhin sicher, man sollte sich nur darum bemühen, den Wurm schnellstens wieder los zu werden.

Gegenmaßnahmen

Die meisten Anbieter von Anti-Viren-Software haben sich mittlerweile auf die neue Bedrohung eingestellt und ihre Datenbanken aktualisiert. Entsprechend empfiehlt es sich, das eigene Virenschutz-Programm (z. B. AntiVir) auf den aktuellsten Stand zu bringen und dann einen kompletten Scan über das eigene System laufen zu lassen.

Sollte das Anti-Viren-Programm keine Funde melden, man sich aber darüber im Klaren sein, einen derartigen Link geklickt zu haben, so gibt es auch noch eine manuelle Möglichkeit, um sich des Wurms zu entledigen:

1. Den PC im abgesicherten Modus neu starten (üblicherweise F8 während des Hochfahrens)
2. Den Registrierungseditor betreten (Windows + R, um eine Kommandozeile aufzurufen; „regedit“ eintippen und Enter)
3. Nun auf HKLM/software/microsoft/windows/currentversion/runonce gehen, wo man einen Eintrag namens mshtmldat32.exe finden sollte. Diesen Eintrag löschen!
4. Nun im normalen Explorer das Verzeichnis WindowsSystem32 ansteuern und dort folgende Dateien löschen:
   • wndrivs32.exe
   • mshtmldat32.exe
   • winlgcvers.exe
   • sdrivew32.exe
5. Das Verzeichnis windows/system32/drivers/etc auswählen.
6. Dort „file hosts“ (oder entsprechende deutsche Übersetzung) finden
7. Die Datei mit einem Texteditor (z. B. dem vorinstallierten Notepad) öffnen, dort alles markieren (Strg + A) und alle Einträge löschen (dieser Schritt sorgt dafür, dass sich die eigene Anti-Virus-Software wieder updaten kann). Speichern und schließen.
8. PC neu starten (normaler Modus)

Weitere Informationen zum Thema

• Der Virus hat sich im vergangenen Jahr bereits über Facebook und Twitter verbreitet und schlummert sogar noch vereinzelt in verschiedenen Systemen. Er kann sogar über USB Sticks sowie verschiedene Instant-Messenger-Protokolle (z. B. ICQ) verbreitet werden.
• Mac-User müssen sich prinzipiell keine Sorgen machen, da der Wurm auf ihrem System keinen Schaden anrichten kann (ich habe es selbst ausprobiert, da ich gerade umsteige. Wer sich für dieses Thema interessiert, der findet weitere Informationen in meinem privaten Blog). Unabhängig davon empfiehlt es sich jedoch auch für diese Anwender, nicht jeden Link anzuklicken, der vermeintlich von guten Freunden über Facebook, Twitter oder eben einen Messenger, wie Skype geschickt wird.
• Einzelne Microsoft-Gegner sehen die Schuld beim Großunternehmen, das Skype im vergangenen Jahr gekauft hat. Was der Einfluss von Microsoft mit einer Sicherheitslücke in Skype zu tun hat, mit der insbesondere auch schon andere Messenger zu kämpfen hatten, erschließt sich mir jedoch nicht.

Quellen:

• GMA Network – Skype worm spreading via ‚lol profile pic‘ messages
• TG Daily – Skype Users targeted by ransomeware Worm
• How Works Skype Worm And How To Remove It
• Skype Journal – How the Skype Worm works
• Countermeasures.Trendmicro.eu – Skype worm spreading fast
• ghacks.net – Quick Way to Remove the Skype Worm
• Skype Blog – On the worm that affects Skype for Windows users

Wir würden uns selbstverständlich freuen, wenn ihr unseren Artikel auch an Freunde und Bekannte weiterleiten würdet, die eventuell gefährdet sein könnten. Um auch zukünftig bei ähnlichen Sicherheitsrisiken sowie möglichen Gegenmaßnahmen informiert zu bleiben, empfiehlt es sich, uns bei Twitter oder Facebook zu folgen oder alternativ unseren RSS Feed zu abonnieren.