Skype Spoof verteilt neuen IRCbot-Trojaner mit neuer "Social Engineering"-Taktik

Neuester Phishing-Angriff ist der erste, der sich gegen Skype-Nutzer richtet

(24.10.05) - Erstmals haben Trojaner auch das Medium Skype für sich entdeckt: MessageLabs warnt vor einer neuen Variante des Trojaners MyTob, der Skype-Nutzer angreift. Das Unternehmen hat viele Exemplare einer neuen Variante des IRCbot-(aka Fanbot)-Trojaners identifiziert und abgefangen. Der Trojaner wird per E-Mail verteilt und tarnt sich als neuestes Release des Skype Software Client Version 1.4, der erst kürzlich am 10. Oktober erschienen ist. Diese "Social Engineering"-E-Mail erweckt beim Empfänger den Eindruck, dass sie aus einer E-Mail-Adresse innerhalb der Empfänger-Domain stammt.

Bei der Ausführung zeigt das angefügte Malware-Programm eine gefälschte "installation error"-Box an, während es sich in Wirklichkeit als %sysdir%/remote.exe installiert, die Registratur ändert und den verteilten Zugang zu Windows Update Services sperrt. Dann versucht es sich entweder mit einem IRC Server namens "jojogirl.3322.org" (channel name #Phantom) oder smallphantom.meibu.com zu verbinden, was aber fehlschlägt.

"Dieser neueste Phishing-Angriff ist der erste, der sich gegen Skype-Nutzer richtet. Dabei werden E-Mails versandt, die den Eindruck erwecken, von Skype zu stammen," sagt Maksym Schipka, Senior Anti-Virus Researcher bei MessageLabs und ergänzt: "Die Zotob-Attacke hat gezeigt, wie schnell die Programmierer von Malware Sicherheitslücken in bestehenden Programmen verwerten. Nun sehen wir, dass auch neue Versionen populärer Software genutzt werden, um die Schadsoft-ware zu verbreiten."

Eine weitere interessante Entwicklung ist der Einsatz des Mutex '___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___', der eine Verbindung vom chinesischen Autor IRCbot-Trojaners zu einer Gruppe von brasilianischen und persischen Hackern herstellt, die dafür bekannt sind, Websites zu verunstalten (ihre Homepage ist evil.co.sr, eine Domain aus Surinam). Der Autor ist auch hinter dem Zotob Source Code her, da er im Malware-Code hinzufügt "If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!!".

E-Mail-Charakteristiken

Betreffzeilen:

Hello. We're Skype and we've got something we would like to share with...; Share Skype.; Skype for Windows 1.4; Skype for Windows 1.4 - Have you got the new Skype?; What is Skype?

Inhalt:

Dear user,

Skype is a little piece of software that lets you talk over the Internet to anyone, anywhere for free.

And it just got even better -- download the latest version of Skype:

Our call quality is the best ever for talking, laughing and sharing stories.

You can forward calls on to mobiles, landlines and other Skype Names.

Make calls instantly from Outlook E-Mail or Internet Explorer with our new toolbars.

Personalise your Skype -- play around with sounds, ringtones and pictures to show the world who you are.

For further details see the attached document.

This message contains graphics. If you do not see the graphics, click here to view.

Legal information

(MessageLabs: ra)