Desafortunadamente, los gusanos en Skype no son algo nuevo.
La escena seguro que te resulta familiar. Un amigo de tu lista de contactos de Skype se ha infectado y, sin quererlo, te manda un enlace a una imagen tuya. Si ese es el caso, el cebo puede ser un vídeo tuyo, esperemos que no sea algo muy bochornoso. 😉
¡Jajaja! ¡Parece que hay un nuevo video tuyo circulando por la red!
Cuando pinchas en el enlace, aparentemente no sospechoso, te sale un vídeo. Aunque, para poder verlo, necesitas descargarte un plugin.
Al darle a Install plugin se descarga un archivo llamado ‘setup.exe’ que se extrae automáticamente y que contiene la carpeta: ‘setup_BorderlineRunner_142342569355180.exe’
Se ejecuta el archivo ‘setup.exe’:
A primera vista parece que estamos instalando un software legítimo, en este caso la primera versión de Skypefall.
Next, Next, Next… Inocentemente seguimos los pasos que el programa nos pide, sin darnos cuenta de todo lo que se está ejecutando.
Se crea una nueva carpeta llamada “SkypeFall” y se registra un nuevo DLL. Ahora tenemos dos nuevos procesos activos en la memoria: SkypeFall.exe y rundll32.exe, que están ejecutando el DLL BorderlineRunner.dll.
Así, se añaden nuevas carpetas: %programfiles%\BorderlineRunner y %appdata%\SkypeFall. Y también se registra un nuevo servicio: HKLM\System\CurrentControlSet\Services\6b57ae94
Después de esto mandas spam a todos tus contactos con el mismo mensaje, haciendo que el malware se siga expandiendo:
En Panda Security identificamos a este malware como: W32/Skyper.A.worm
IOCs
Domains:
hxxp://24onlineskyvideo.info
hxxp://24videotur.in.ua
hxxp://deepskype.net
hxxp://factorygood.net
hxxp://ironskype.net
hxxp://letitskype.info
hxxp://letskype.net
hxxp://popskypevideo.net
hxxp://popvideoskype.com
hxxp://popvideoskype.info
hxxp://popvideoskype.net
hxxp://skypepopvideo.net
hxxp://skypepopvideo.net
hxxp://skyvideo24.in.ua
hxxp://skyvideo24online.in.ua
hxxp://skyvideo24online.ru
hxxp://skyvideotape.in.ua
hxxp://skyvideotape.ru
hxxp://someskype.com
hxxp://someskype.net
hxxp://techine.info
hxxp://techine.net
hxxp://videosk.in.ua
hxxp://videosk.info
hxxp://videoskype.ru
hxxp://videoskype24.ru
hxxp://videoss.in.ua
Hashes (SHA1):
b6f690849e9ed71b3f956078934da5ed88887aa3
42c685ac60555beaacd5e07d5234a6600845e208
dfb9bfb274e9df857bb0fae02ba711e62a2a9eb6
726db7f1c956db8c5e94d21558cbbe650b949b7e
Cómo evitar el malware W32/Skyper.A.worm
- No hagas clic en enlaces desconocidos, sobre todo, cuando un amigo te mande un texto genérico diciéndote que es un vídeo o una foto tuya que está circulando por Internet. Si te pica la curiosidad, pregúntale de qué se trata. Más vale prevenir que curar.
- No te dejes engañar por iconos que te resulten familiares ni por descripciones de carpetas legítimas. Estas pueden alterarse con facilidad.
- Si has hecho clic en el link, algo no va bien si, en vez de descargarte una foto, te descarga una carpeta EXE.