Skype-Wurm verbreitet sich über fingierte Profilfotos


Seit vorgestern kursiert unter Skype-Nutzern ein Wurm, der sich offensichtlich rasend schnell verbreitet. Skype-Nutzer bekommen eine Nachricht die zum Beispiel lautet

moin, kaum zu glauben was für schöne fotos von dir auf deinem profil
h**p://goo.gl/abcdef?profile=<skype-benutzername>


Oder


hallo, sag mal ehrlich sind das deine fotos?
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Oder auch:

lol is this your new profile pic?
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Vor allem der Benutzername am Ende des Links erweckt den Eindruck, dass da tatsächlich Fotos zu finden sind, die zu einem gehören.

Der abgekürzte Link zeigte in meinem Fall auf den Filehoster Hotfile. Hier war die Datei bereits “aus urheberrechtlichen Gründen” gelöscht worden — besser so. Den hierbei handelt es sich um den Wurm, in einer Zip-Datei verpackt, der die eigentliche Infektion erst weiterträgt. Öffnet man die enthaltene Exe-Datei (mit Facebook-Logo als Symbol!), kopiert sie sich zunächst selbst an einen neuen Speicherort und schreibt einen Registrierungseintrag. Das System ist nun infiziert.

Delikat daran: Bei jedem Neustart des Betriebssystems holt sich der Wurm sein Update ab, das wieder eine andere Signatur hat. Damit ist er für Antivirenprogramme extrem schwer zu erkennen. Außerdem werden beim Update die bisherigen Registrierungseinträge [des Wurms] gelöscht und neue geschrieben. Die Spurensuche wird so ebenfalls erschwert.

Zur Behebung kann die Datei, wenn sie zuvor etwa per Task-Manager oder Process Explorer aufgespürt wurde, gelöscht werden. Da sie aber versteckt ist, greift man hierzu am besten offline, also ohne aktives Benutzerprofil, in Windows ein. Das geht beispielsweise per Reparaturkonsole mit Eingabeaufforderung oder auch mit einem Live-Betriebssystem. Anschließend können Sie, wieder angemeldet, die Registrierungsdatenbank nach dem Namen der Datei durchsuchen und den Verweis darauf manuell löschen.