Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ukryte szczegóły na temat szkodliwego oprogramowania rozprzestrzenianego ostatnio za pośrednictwem Skype'a

Dmitrij Tarakanow
Kaspersky Lab Expert
Dodany 11 października 2012, 10:49 CEST
Tagi:

Wiele powiedziano już o najnowszym szkodliwym oprogramowaniu, rozprzestrzenianym w wiadomościach komunikatora Skype. Jednak, chciałbym dodać w niniejszym artykule coś, o czym jeszcze nie było mowy. Pierwszą rzeczą jest informacja o czasie zapoczątkowania ataku. Zgodnie z danymi z usługi Google Short URL, pierwsze symptomy ataku pochodzą z 6 października 2012 r.:

Dokładnie stało się to o godzinie 19:00. W zaledwie dwie godziny liczba kliknięć wzrosła do 484 111. Zaryzykuję stwierdzenie, że większość użytkowników, którzy kliknęli złośliwy odsyłacz, doznała natychmiastowej infekcji, ponieważ, zgodnie z danymi serwisu Virus Total, szkodnik był początkowo wykrywany przez 2 z 44 silników antywirusowych. W chwili obecnej szkodnik jest wykrywany przez 27 z 44 silników antywirusowych, natomiast całkowita, bieżąca liczba kliknięć przekroczyła milion!

Pomimo faktu, że złośliwy adres URL nie jest już aktywny, ludzie wciąż go klikają. Złośliwa kampania utrzymuje niski poziom aktywności, a większość ofiar to użytkownicy w Rosji. To kontrowersyjna sytuacja, ponieważ jednym z zadań szkodliwego ładunku jest kradzież danych kart kredytowych klientów jednego z banków w Ekwadorze!

Szkodliwe oprogramowanie "rozmawia" w wielu językach, próbka, którą udało mi się zdobyć, "zagadywała" wenezuelskich użytkowników pytając "Es ésta tu foto de perfil nuevo?" ("Czy to jest Twoje nowe zdjęcie profilowe?"). Z tego co wiadomo, szkodnik potrafi komunikować się po hiszpańsku, portugalsku, angielsku i łotewsku oraz kradnie informacje logowania do kont w serwisach: iknowthatgirl, YouPorn, Brazzers, Webnames, Dotster, Enom, 1and1, Moniker, Namecheap, Godaddy, Alertpay, Netflix, Thepiratebay, Torrentleech, Vip-file, Sms4file, Letitbit, Whatcd, eBay, Twitter, Facebook, Yahoo, PayPal i kilku innych.

Trojan posiada funkcjonalność autouruchamiania przeznaczoną do rozprzestrzeniania się przez urządzenia USB. Szkodnik jest również w stanie samoczynnie rozsyłać się poprzez MSN Messenger i wszystkie lokalne konta Skype'a figurujące na tym samym zainfekowanym komputerze (szkodnik przechwytuje hasła Skype'a i automatycznie przełącza się pomiędzy dostępnymi kontami).

Oprogramowanie Kaspersky Lab wykrywa opisane zagrożenie jako: Trojan.Win32.Bublik.jdb.