Skype-Wurm verbreitet sich über fingierte Profilfotos


Seit vorgestern kursiert unter Skype-Nutzern ein Wurm, der sich offensichtlich rasend schnell verbreitet. Skype-Nutzer bekommen eine Nachricht die zum Beispiel lautet

moin, kaum zu glauben was für schöne fotos von dir auf deinem profil
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Oder

hallo, sag mal ehrlich sind das deine fotos?
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Oder auch:

lol is this your new profile pic?
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Vor allem der Benutzername am Ende des Links erweckt den Eindruck, dass da tatsächlich Fotos zu finden sind, die zu einem gehören.

Der abgekürzte Link zeigte in meinem Fall auf den Filehoster Hotfile. Hier war die Datei bereits “aus urheberrechtlichen Gründen” gelöscht worden — besser so. Den hierbei handelt es sich um den Wurm, in einer Zip-Datei verpackt, der die eigentliche Infektion erst weiterträgt. Öffnet man die enthaltene Exe-Datei (mit Facebook-Logo als Symbol!), kopiert sie sich zunächst selbst an einen neuen Speicherort und schreibt einen Registrierungseintrag. Das System ist nun infiziert.

Delikat daran: Bei jedem Neustart des Betriebssystems holt sich der Wurm sein Update ab, das wieder eine andere Signatur hat. Damit ist er für Antivirenprogramme extrem schwer zu erkennen. Außerdem werden beim Update die bisherigen Registrierungseinträge [des Wurms] gelöscht und neue geschrieben. Die Spurensuche wird so ebenfalls erschwert.


Zur Behebung kann die Datei, wenn sie zuvor etwa per Task-Manager oder Process Explorer aufgespürt wurde, gelöscht werden. Da sie aber versteckt ist, greift man hierzu am besten offline, also ohne aktives Benutzerprofil, in Windows ein. Das geht beispielsweise per Reparaturkonsole mit Eingabeaufforderung oder auch mit einem Live-Betriebssystem. Anschließend können Sie, wieder angemeldet, die Registrierungsdatenbank nach dem Namen der Datei durchsuchen und den Verweis darauf manuell löschen.


Delphi-Virus gelangt auf Computerbild-CD

Da meldete Heise noch vorgestern, dass der Virenspezialist Kaspersky ein Virus entdeckt habe, das die Delphi-Entwicklungsumgebung befalle, da ist es auch schon für jeden zu haben:

Der Verlag hatte eine Zeitschrift mit CD ausgeliefert, auf der das Virus vorhanden ist – und zwar in einem Verwaltungsprogramm für Lesezeichen mit dem Namen “Tidy Favorites”.

Dieses Programm wurde in Delphi geschrieben und natürlich kompiliert. Die ENtwicklungsumgebung des Programmierers war offensichtlich mit dem “Delphi-Virus” befallen, welches sich selbst in das Kompilat einbrachte – und dieses wurde später im Auftrag von Computerbild auf eine CD gepresst, die jetzt im Zeitschriftenhandel erhältlich ist.


Das vom deutschen Hersteller des Antivirenprogramms “AntiVir”, Avira auf der CD entdeckte Virus bewirkt durch eine Manipulation von sysconst.pas die Veränderung der Bibliothek sysconst.dcu. Vorher wird eine Sicherung mit der Endung .bak angelegt; das Virus erkennt daran später den erfolgreichen Befall und unternimmt keine Wiederholungsversuche.

Mit dem Wissen sollte eine einfache Methode, sich selbst zu schützen möglich sein: Man erstelle eine Datei mit dem Namen sysconst.bak.

In einer gestern veröffentlichten Pressemitteilung gab der Verlag bekannt, dass für Windows normalerweise keine Gefahr bestehe – es sei denn, die Delphi-Entwicklungsumgebung ist installiert.

Das vorgestern von Kaspersky entdeckte Virus wird erst seit wenigen Stunden von Kaspersky Antivirus und Avira Antivir erkannt. Die veröffentlichte CD wurde am vergangenen Donnerstag mit mehreren Programmen auf Viren untersucht.