Nowy robak atakuje przez komunikator Skype

TrendLabs, ogólnoświatowe centrum badań i pomocy firmy Trend Micro, otrzymało ostatnio próbki nowego robaka rozprzestrzeniającego się za pośrednictwem popularnego programu Skype. Robak ten, oznaczony nazwą WORM_SKIPI.A, wykorzystując funkcję czatu komunikatora Skype, wysyła wiadomości do osób z listy kontaktów użytkownika zarażonego komputera. Wiadomości te zawierają łącze, za którego pośrednictwem może zostać pobrana kopia robaka. W chwili pisania niniejszego artykułu większość raportów o infekcjach pochodziła z Tajwanu i Stanów Zjednoczonych.
Objawem infekcji może być następująca bez udziału użytkownika zmiana stanu dostępności na Nie przeszkadzać oraz brak możliwości zmiany tego statusu lub otwarcia konsoli programu Skype. Dodatkowo wyświetlany jest następujący obraz:

Charakterystyczną cechą robaka WORM_SKIPI.A jest to, że może on „maskować” faktyczne łącze, pod którym znajduje się jego kopia. Na przykład w chwili pisania niniejszego artykułu łącza te są widoczne dla odbiorcy jako pliki obrazów JPEG, natomiast w rzeczywistości kierują pod inny, złośliwy adres URL. Robak potrafi także wysyłać wiadomości „konwersacyjne” w różnych językach (w zależności od ustawień programu). Dzięki tej procedurze może on skłonić do kliknięcia podstawionego łącza nawet najostrożniejszych użytkowników, ponieważ sprawia ono wrażenie nieszkodliwego i pochodzącego od prawdziwych rozmówców z listy kontaktów. Poniższa ilustracja przedstawia zrzut ekranu z „rozmową” z udziałem robaka.

Część procedur uruchomionych przez robaka zamyka procesy związane z oprogramowaniem antywirusowym i zabezpieczającym, takim jak produkty firmy Trend Micro np. OfficeScan Corporate Edition. Ponadto modyfikuje on plik HOSTS w systemie, aby uniemożliwić dostęp do określonych adresów internetowych, w szczególności do serwisów internetowych poświęconych bezpieczeństwu.

Skype ma aktualnie około 220 milionów zarejestrowanych kont użytkowników, z których średnio około 9 milionów jest połączonych w tym samym czasie. Liczby te wskazują, że robak WORM_SKIPI.A mógłby się bardzo szybko rozprzestrzenić, gdyby nie został wykryty.

Trend Micro wykrywa tego robaka za pomocą pliku wzorców 4.709.00. Wszystkie związane z nim adresy URL zostały już zablokowane przez usługę In-the-cloud Reputation. Ponadto Trend Micro oferuje następujące produkty i usługi, które chronią użytkowników przed tym zagrożeniem:

•    Ochrona bramy internetowej za pomocą produktów InterScan Web Security Suite (IWSS) lub Interscan Web Security Appliance (IWSA). Produkty te zapobiegają rozprzestrzenianiu się robaka przez skanowanie treści internetowych i blokowanie niebezpiecznych adresów URL wysyłanych przez robaka w wiadomościach.
•    Ochrona komputera za pomocą pakietu Web Reputation Services (WRS). Programy OfficeScan i Internet Security (PC-Cillin) umożliwiają blokowanie adresów URL na poziomie przeglądarki, co zapobiega rozprzestrzenianiu się robaka, zaś funkcje skanowania w czasie rzeczywistym chronią użytkowników na poziomie systemu plików.

W związku z tym firma Trend Micro zaleca swoim klientom pobranie najnowszych plików z wzorcami oraz włączenie funkcji Web Reputation Service (WRS) w najnowszych produktach Trend Micro. Mimo to nadal należy zachowywać ostrożność przed kliknięciem łączy pochodzących z nieznanych lub niepewnych źródeł.

Użytkownicy komputerów już zainfekowanych przez robaka mogą wykonać następujące czynności:
1.    Przeskanowanie komputera programem antywirusowym Trend Micro z użyciem najnowszego pliku wzorców i usunięcie plików wykrytych jako WORM_SKIPI.A. Inni użytkownicy mogą skorzystać ze skanera antywirusowego HouseCall, który firma Trend Micro udostępnia online: http://housecall.trendmicro.com/
2.    Zastosowanie procedury ręcznej opisanej w bazie Trend Micro Virus Encyclopedia: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSKIPI%2EA&VSect=Sn