skype timo

Desafortunadamente, los gusanos en Skype no son algo nuevo.

La escena seguro que te resulta familiar. Un amigo de tu lista de contactos de Skype se ha infectado y, sin quererlo, te manda un enlace a una imagen tuya.  Si ese es el caso,  el cebo puede ser un vídeo tuyo, esperemos que no sea algo muy bochornoso. 😉

skype virus

¡Jajaja! ¡Parece que hay un nuevo video tuyo circulando por la red!

Cuando pinchas en el enlace, aparentemente no sospechoso, te sale un vídeo. Aunque, para poder verlo, necesitas descargarte un plugin.

link malicioso

 

Al darle a Install plugin se descarga un archivo llamado ‘setup.exe’ que se extrae automáticamente y que contiene la carpeta: ‘setup_BorderlineRunner_142342569355180.exe’

Se ejecuta el archivo ‘setup.exe’:

skypefall setup

A primera vista parece que estamos instalando un software legítimo, en este caso la primera versión de Skypefall.

Next, Next, Next… Inocentemente seguimos los pasos que el programa nos pide, sin darnos cuenta de todo lo que se está ejecutando.

skype setup wizard

Se crea una nueva carpeta llamada “SkypeFall” y se registra un nuevo DLL. Ahora tenemos dos nuevos procesos activos en la memoria: SkypeFall.exe y rundll32.exe, que están ejecutando el DLL BorderlineRunner.dll.

Así, se añaden nuevas carpetas: %programfiles%\BorderlineRunner y %appdata%\SkypeFall. Y también se registra un nuevo servicio: HKLM\System\CurrentControlSet\Services\6b57ae94

Después de esto mandas spam a todos tus contactos con el mismo mensaje, haciendo que el malware se siga expandiendo:

timo skype

En Panda Security identificamos a este malware como: W32/Skyper.A.worm

IOCs

Domains:
hxxp://24onlineskyvideo.info

hxxp://24videotur.in.ua

hxxp://deepskype.net

hxxp://factorygood.net

hxxp://ironskype.net

hxxp://letitskype.info

hxxp://letskype.net

hxxp://popskypevideo.net

hxxp://popvideoskype.com

hxxp://popvideoskype.info

hxxp://popvideoskype.net

hxxp://skypepopvideo.net

hxxp://skypepopvideo.net

hxxp://skyvideo24.in.ua

hxxp://skyvideo24online.in.ua

hxxp://skyvideo24online.ru

hxxp://skyvideotape.in.ua

hxxp://skyvideotape.ru

hxxp://someskype.com

hxxp://someskype.net

hxxp://techine.info

hxxp://techine.net

hxxp://videosk.in.ua

hxxp://videosk.info

hxxp://videoskype.ru

hxxp://videoskype24.ru

hxxp://videoss.in.ua

Hashes (SHA1):

b6f690849e9ed71b3f956078934da5ed88887aa3

42c685ac60555beaacd5e07d5234a6600845e208

dfb9bfb274e9df857bb0fae02ba711e62a2a9eb6

726db7f1c956db8c5e94d21558cbbe650b949b7e

Cómo evitar el malware W32/Skyper.A.worm

  • No hagas clic en enlaces desconocidos, sobre todo, cuando un amigo te mande un texto genérico diciéndote que es un vídeo o una foto tuya que está circulando por Internet. Si te pica la curiosidad, pregúntale de qué se trata. Más vale prevenir que curar.
  • No te dejes engañar por iconos que te resulten familiares ni por descripciones de carpetas legítimas. Estas pueden alterarse con facilidad.
  • Si has hecho clic en el link, algo no va bien si, en vez de descargarte una foto, te descarga una carpeta EXE.