Neuer IM-Wurm verbreitet sich über Yahoo und Skype

"W32.Skyhoo.Worm" verschickt sich selbst an Kontakte im Yahoo-Messenger- oder Skype-Adressbuch. Die Opfer sollen ein Bild herunterladen. Der Wurm kann sich vor Virenscannern verstecken und Microsoft-Office-Dateien infizieren.

Sicherheitsexperten von Bkis warnen vor einer neuen Variante des kürzlich entdeckten Wurms „W32.Yimfoca„. Der auf den Namen W32.Skyhoo.Worm getaufte Schädling verbreitet sich auf Windows-Systemen anders als sein Vorgänger nicht nur über Yahoo Messenger, sondern auch über Skype.

Er ist Bkis zufolge wesentlich ausgefeilter, was Täuschungsmanöver und Malware-Funktionen angeht als Yimfoca. Anwender von Skype oder Yahoo Messenger sollten jedenfalls sehr vorsichtig sein, wenn sie von ihren Freunden plötzlich Links auf Bilder geschickt bekommen.

Der Wurm verbreitet sich über Nachrichten wie „Does my new hair style look good? bad? perfect?“ („Sieht meine neue Frisur gut aus? Schlecht? Super?“) oder „My printer is about to be thrown through a window if this pic won’t come out right. You see anything wrong with it?“ („Mein Drucker fliegt jetzt gleich aus dem Fenster, wenn er das Bild nicht vernünftig ausgibt. Kannst Du irgendeinen Fehler entdecken?“).

Die Nachrichten verbreiten gleichzeitig einen Link zu einer Bilddatei im JPEG-Format oder zu einer Website mit einem Bildlink. Klickt man darauf, wird eine Webseite aufgerufen, die wie eine Rapid-Share-Hosting-Seite aussieht. Dort kann das Opfer eine Archivdatei im ZIP-Format herunterladen. Der Inhalt des Archivs ist als JPEG-Bild getarnt, aber in Wirklichkeit eine ausführbare „.COM“-Datei – der eigentliche Virus.

Ist auf dem infizierten Rechner weder Skype noch der Yahoo Messenger installiert, beendet sich der Wurm sofort wieder. Gibt es aber eines dieser Programme, beginnt er laut Bkis Mitteilungen an die Kontakte des Opfers zu versenden. Auch E-Mail-Nachrichten sowie Word- oder Excel-Dateien, die das Opfer erstellt, würden infiziert.

Zusätzlich verbindet sich der Wurm mit einem IRC-Server (Internet Relay Chat) im Internet, von dem aus er Befehle erhält. „W32.Skyhoo.Worm“ kann sich mit Rootkit-Techniken verstecken und Antiviren-Programme sowie etwa 700 Security-Websites blockieren. Außerdem soll er sich automatisch auf angeschlossene USB-Datenträger kopieren.

Auch der Vorgänger „W32.Yimfoca“ täuschte einen Bildlink vor, um Anwender von Yahoo-Messenger dazu zu bringen, ihn herunterzuladen. Die Nachrichten schienen von Freunden oder Bekannten zu kommen. Eine typische Yimfoca-Nachricht enthält nur eines der Wörter „foto“, „photo“ oder „photos“ zusammen mit einem Smily. Es folgt ein Link, der scheinbar auf eine Facebook-, MySpace– oder Bilderhosting-Seite verlinkt.

Der neue IM-Wurm tarnt sich als von einem Freund geschicktes Foto (Screenshot: Bkis).
Der neue IM-Wurm tarnt sich als von einem Freund geschicktes Foto (Screenshot: Bkis).

Themenseiten: Hacker, Messenger, Skype, Skype, Yahoo, Yahoo

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Neuer IM-Wurm verbreitet sich über Yahoo und Skype

Kommentar hinzufügen
  • Am 7. Januar 2011 um 19:40 von Kilian

    virus
    ich fande es sehr nützlich & habe sofort skype deinstalliert, nun bin ich gespannt ob meine firewall nochmal anschlägt!
    mfg
    kilian

  • Am 11. Januar 2011 um 18:53 von sandro

    IM-Wurm
    Ich habe ihn bei facebook eingefangen!

    • Am 13. Januar 2011 um 13:16 von Silke

      AW: IM-Wurm
      jep, ich hab ihn auch bei facebook mir eingefangen!!! worm/Yahos.it

      • Am 26. Januar 2011 um 23:49 von Hans

        AW: AW: IM-Wurm
        hab ihn ebenfalls auf facebook eingefangen^^

        WORM/Yahos.Ix

    • Am 29. Januar 2011 um 13:10 von marco

      AW: IM-Wurm
      ich hab ihn mir ebenfalls bei facebook eingefangen ging schneller als man denkt ….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *