Trojaner tarnt sich als Skype-Update

Messagelabs warnt vor neuer Welle an IRCbot-Trojanern

Messagelabs hat nach eigenen Angaben seit gestern mehr als 150 Exemplare einer neuen Variante des IRCbot-Trojaners identifiziert und abgefangen. Der Trojaner wird per E-Mail verteilt, und tarnt sich als die erst kürzlich erschienene Version 1.4 des Skype-Software-Clients. Die E-Mail nutzt Taktiken des Social Engineering, indem sie beim Empfänger den Eindruck erweckt, dass sie von einer Adresse innerhalb der gleichen Domain wie der des Empfängers stammt.

Wird der im Anhang befindliche Schädling ausgeführt, zeigt er eine gefälschte „Installation Error“-Box an. Tatsächlich installiert sich der Trojaner als %sysdir%emote.exe, trägt sich in die Windows Registry ein und sperrt den Zugang zum Windows-Update-Dienst. Anschließend versucht er sich mit einen von zwei IRC-Servern zu verbinden, was aber fehlschlägt.

Mögliche Betreffzeilen der Mail:

  • Hello. We’re Skype and we’ve got something we would like to share with…
  • Share Skype.
  • Skype for Windows 1.4
  • Skype for Windows 1.4 – Have you got the new Skype?
  • What is Skype?

Mail-Text:

Dear user,
Skype is a little piece of software that lets you talk over the Internet to anyone, anywhere for free.
And it just got even better — download the latest version of Skype:
Our call quality is the best ever for talking, laughing and sharing stories.
You can forward calls on to mobiles, landlines and other Skype Names.
Make calls instantly from Outlook email or Internet Explorer with our new toolbars.
Personalise your Skype — play around with sounds, ringtones and pictures to show the world who you are.

For further details see the attached document.
This message contains graphics. If you do not see the graphics, click here to view.
© 2002-2005 by Skype Technologies S.A.
Legal information

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Trojaner tarnt sich als Skype-Update

Kommentar hinzufügen
  • Am 20. Oktober 2005 um 17:29 von Peter Müller

    Skype eMail
    Ich habe bereits am 11.10.05 eine eMail, allerdings in deutsch, mit dem Betreff "Skype für Windows 1.4 – Haben Sie schon das neue Skype?" erhalten. Sie ist in html, aber eine ausführbare Datei habe ich nicht als Anlage gefunden. Nun frage ich mich ob der Download Link vielleicht korrupt war.

    Was mich stutzig macht ist die folgende Zeile in den eMail Eigenschaften: Return-Path: <v-blicd_dhlpfoeo_coicjfg_coicjfg_a@bounce.rm02.net>

    Wirkt für mich unseriös.

    Kann mir einer sagen, ob das eine "echte" Mail von Skype war oder ob ich hier irgendwie Ziel eines Betrugsversuches bin?

    • Am 23. Oktober 2005 um 21:21 von Marta

      AW: Skype eMail
      mir ist das genau gleiche am 11. Okt. passiert, deutsch, html. Neuste Version wurde installiert, AntiVir kann noch immer ge-updatet werden und hat auch keinen Schädling gefunden.
      Allerdings fand ich auch nirgends einen Hinweis, ob die Mail "echt" war.
      Für Neuigkeiten wäre ich dankbar…..

    • Am 24. Oktober 2005 um 0:37 von Peter Müller

      AW: AW: Skype eMail
      Ich bin inzwischen zu der starken Vermutung gelangt, daß der deutsche Newsletter von Skype echt war, d. h. ohne Virus war.

      Vielleicht beruhigt das etwas.

  • Am 22. Oktober 2005 um 19:53 von Kathrin

    IRC Trojaner
    Hallo,
    habe seit heute einen IRC Trojaner auf meinem PC. Er versteckte sich in einer e-mail die als E-Card getarnt war.

  • Am 24. Oktober 2005 um 13:01 von Marta

    Trojaner Skype
    Ich neige ebenfalls zur Annahme, die deutsche Mail v. 11. Okt. sei "echt" gewesen, trotzdem finde ich es eigentümlich, dass davon nirgends die Rede ist.
    Wie auch immer, danke für die Reaktion.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *