Wurm versucht sich über Skype zu verbreiten

Websense weist auf einen neuen Wurm hin, der versucht, sich über Skype zu verbreiten. Dazu nutzt der Schädling aber wohl keine Sicherheitslücke in der Internettelefonie-Software, sondern versucht, Anwender dazu zu bewegen, eine Datei herunterzuladen und zu starten. Ein potenzielles Opfer erhält dabei eine Nachricht via Skype Chat. Über die Verbreitung gibt es keine genauen Zahlen. Der Ursprung des Wurms soll im asiatischen Raum liegen.

Auf einem infizierten Windows-System findet sich laut Websense ein Trojaner, der Passwörter ausspäht – Linux und Mac OS X sind nicht betroffen. Zudem beginnt der Wurm, seine Originaldatei über Skype anzubieten. Der Wurm ohne Namen ist allerdings kein Allerwelts-Wurm: Ersten Analysen zufolge verfügt er über Anti-Debugging-Funktionen und ist mit der NTKrnl Secure Suite gepackt. Diese Suite soll es Virenscannern so schwer wie möglich machen, Schädlinge in Dateien zu erkennen. Dazu setzt die Suite auf Polymorphismus und Verschlüsselung der Anwendung. Da Skype den Datenverkehr zwischen Clients verschlüsselt, ist es zumindest für Virenfilter auf dem Internet-Gateway sowieso unmöglich, in die übertragenen Dateien hineinzuschauen. Ohnehin ist Skype der Albtraum vieler Netzwerk-Admins, da es in der Lage ist, Löcher in Firewalls zu bohren; der Hintergundartikel "Der Lochtrick" auf heise Security beschreibt, welche raffinierten Tricks Skype dabei anwendet.

Der neue Trojaner verbindet sich zudem mit einem Server, um weiteren Code nachzuladen. Mittlerweile ist der Nachladeserver nicht mehr erreichbar, was aber die Verbreitung des Wurms nicht unbedingt beeinträchtigen muss.

Siehe dazu auch:

• Potential Skype worm propagating, Hinweis von Websense

(dab)