Encontra-se em: Panda Security > Home Users > About Panda > press-releases > Lista dos últimos press releases

RssBurner ViewNews True 0

Panda detecta novo worm que explora o Skype e Messenger

10/10/2012 0:00:00. Untitled Document

Desde Sábado que um novo worm se encontra activamente em circulação através (essencialmente) do Skype e do Messenger (Windows Messenger, Microsoft MSN Messenger).

O worm envia dos computadores infectados, mensagens semelhantes à seguinte:


O link refere-se ao goo.gl, que é efectivamente um serviço legítimo da Google para encurtar URLs. O destino é o website de partilha de ficheiros Hotfile.com, igualmente legítimo. Já não é a primeira vez que o Hotfile.com é utilizado para alojar e distribuir malware, como se pode ler em http://goo.gl/mGdii)

O lado positivo é tratar-se de um ficheiro ZIP e não de um executável. Isto significa que o utilizador terá que descomprimir e executar por sua própria iniciativa o malware. O arquivo ZIP contém o seguinte ficheiro, disfarçado como instalador do Skype:

A execução deste ficheiro cria uma cópia de um outro, executável, na pasta %appdata% correspondente ao utilizador com sessão aberta:

Este ficheiro tentará ligar-se ao website api.wipmania.com, aguardando por instruções. Adicionalmente, tenta ligar-se aos seguintes endereços IP:

74.208.112.178
87.106.98.157
199.15.234.7
213.165.71.142
213.165.71.153
217.160.108.147

As questões que se colocam são, como se propaga e que mensagens demonstra? O ficheiro extraído do arquivo ZIP (skype_05102012_image.exe) procura pelos seguintes processos:

msnmsgr.exe
msmsgs.exe
skype.exe

Em seguida, envia automaticamente uma mensagem baseada no idioma do sistema operativo, retirada da seguinte listagem:

tas ir jusu jauna profila bildes?
seo do grianghraf prl nua?
ont uusi profiilikuva?
nai aft a fotografa profl sas?
sa kvo profili lusankary aquesta
s la teva nova foto de perfil?
hey ito sa iyong larawan sa profile?
hey lanh tieu cua ban?
hey ini foto profil?
hei zhni de gn zilio zhopin ma?
ni phaph porfil khxng khun?
hej er det din nye profil billede?
hej je to vasa nova slika profila?
hej je to tvuj nov obr zek profilu?
hei er dette din nye profil bilde?
hey la tua immagine del profilo nuovo?
hej to jest twj nowy obraz profil?
hej jeli ovo vasa nova profil skila?
hey bu yeni profil pic?
hej detta är din nya profilbild?
tung, cka paske lyp ti nket fotografi?
moin , kaum zu glauben was für schöne fotos von dir auf deinem profil
hey is dit je nieuwe profielfoto?
ez az j profil ksta tu foto de perfil nuevo?
hey essa sua foto de perfil? rsrsrsrsrsrsrs
hey c’est votre nouvelle photo de profil?
hoi schoni fotis hesch du uf dim profil ppe n
lol is this your new profile pic?

No link da mensagem é acrescentado ainda o seu username a seguir ao sinal de igual (=), conforme se percebe na imagem com que exemplificamos uma destas mensagens (apesar de termos ocultado o utilizador neste caso).

O malware foi identificado pela Panda Security com a designação W32/SpySkype.G.worm e distribui-se através de unidades amovíveis, programas de instant messaging e redes sociais. Algumas variantes podem ter nomes de utilizador e passwords, e bloquear websites relacionados com actualizações de segurança. Adicionalmente poderão lançar ataques de negação de serviços (DoS) de forma limitada.

Nas nossas máquinas de teste não foi transferido malware adicional, mesmo após repetirmos os testes por diversas vezes. No entanto podem ser transferidas inúmeras variantes de malware, sejam ransomware, rogueware, entre outros.

Conclusão
O facto dos worms se distribuirem tanto através do Facebook e Twitter como por IRC, MSN e Skype já não é novidade. Contudo, tal continua a ser extremamente bem sucedido muito por culpa da natural curiosidade humana, ou quanto mais não seja para esclarecer dúvidas quanto à eventualidade de termos fotos comprometedoras online. A tendência dos utilizadores é pensar: “Será que tenho realmente fotografias comprometedoras neste website? O melhor é confirmar!”

Para garantir a sua segurança, a Panda recomenda que:

Nunca clique em links suspeitos ou desconhecidos. Tenha especial cuidado com links encurtados relacionados com algo suspeito ou incomum, mesmo que enviados por conhecidos.

Não se deixe iludir por ícones conhecidos ou descrições de ficheiros aparentemente legítimas, porque tudo isso pode ser facilmente manipulado.

Mesmo que clique nos links fornecidos em casos como este por lhe parecerem insuspeitos, se transferir um ficheiro que não contenha quaisquer imagens quando isso é o que lhe é "prometido", comece a preocupar-se...

Para se certificar sobre o que "escondem" os URLs encurtados, ou abreviados, utilize um dos seguintes serviços gratuitos online:

http://getlinkinfo.com/
http://longurl.org/

Mantenha o seu antivírus sempre actualizado.

Transfira uma versão de avaliação gratuita dos antivírus Panda com 1 mês de serviços completos em http://goo.gl/n35Gm.

 


 

  • Feed RSS para press releases

  http://www.pandasecurity.com/virus_info/exports/rss/pandapt.xml

 

  • Adicione esta notícia a MyWeb



Transferências Antivírus Antivírus 2013 - Informações Antivírus Online Grátis Antivírus Cloud Grátis Notícias sobre vírus Tecnologia Antivírus Transferir Panda Antivirus Pro 2013 Comprar Panda Antivirus Pro 2013 Transferir Panda Internet Security 2013 Comprar Panda Internet Security 2013 Transferir Panda Global Protection 2013 Comprar Panda Global Protection 2013 Antivirus for Mac Soluções Empresariais Transferir Software Empresarial Soluções de Alojamento Local Soluções baseadas em Cloud Computing Soluções de Gestão Remota

 

 

16/12/2011 0:00:00 Panda revela previsões para segurança informática em 2012
16/12/2011 0:00:00 Ataques mostram tendência crescente do "hacktivismo" em Portugal
26/01/2012 0:00:00 Panda detecta novo worm para Facebook que usa Katy Perry como isco

Comunicação Portugal
E-mail: comunicacao@pt.pandasecurity.com
Número de telefone: + 351 219 42 68 00