Жалобы пользователей Skype на вирус

[AM_Bot 48]

Пользователи сервиса Skype начали получать от своих друзей в списке контактов ссылку, которая ведёт на сайт с вредоносным файлом. В сообщении, сопровождающем ссылку, спрашивают, действительно ли это новое изображение пользовательского профиля.

Рекомендации от службы технической поддержки антивирусной компании «ВирусБлокАда»:

«Вы можете получить личное сообщение от одного из ваших контактов вида: «ey eto vasha novaya kartina profil’?ваш_ник». Убедительная просьба, НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕХОДИТЬ ПО ССЫЛКЕ.»

Пожалуйста, проверьте настройки скайпа, чтобы избежать распространения вируса:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других программ к Skype – не должно быть никаких программ.

Общие рекомендации:

Перед тем, как перейти по сокращенной ссылке, проверьте её с помощью сервиса расшифровки линков, например longurl.org. При расшифровке обратите внимание на доменное имя сайта, который может перенаправить вас на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Комментарии вирусного аналитика компании «ВирусБлокАда» Алексея Герасименко:

По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно.

Вредоносная активность:

После запуска копирует себя в папку  %APPDATA% со случайным именем наподобие Yojwju.exe, регистрирует этот файл в автозапуске Windows (в частности, в ветку HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run).

Содержит в себе бэкдор-компоненту для подключения заражённого компьютера в ботнет. Команды от управляющего сервера передаются по IRC протоколу.

Крадёт пароли к учётным записям от таких сервисов, как YouTube, Gmail, Facebook, Letitbit, Sms4file, Vip-file, и др.

Блокирует доступ к сайтам,  доменные имена которых содержат следующие строки:

webroot., fortinet., virusbuster., nprotect., gdatasoftware., virus., precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton., norman., mcafee., symantec, comodo., avast., avira., bitdefender., eset., kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.

Содержит функционал для проведения DDoS-атаки и перенаправления пользователя на вредоносные сайты.

Характерная черта Worm.NgrBot – для определения IP-адреса заражённого компьютера обращается на сайт api.wipmania.com.

Распространение:

Может распространяться через флэш-носители, используя широко известный механизм автозапуска посредством файла autorun.inf. При этом вредоносный файл располагается в скрытой папке RECYCLER.

Распространяется через социальные сети, отправляя ссылки на себя в популярных социальных сетях и сервисах обмена мгновенными и сообщениями (Vkontakte, Facebook, Twitter и т.д.).

Один из вариантов лечения:

Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;
2. Выбрать в меню Tools > Low Level Disk Access Tool;
3. В левой части окна утилиты «Level Disk Access Tool» выбрать путь к папке %APPDATA%.

Например, в ОС Windows XP путь к %APPDATA% имеет вид «Х:Documents and SettingsUsernameApplication Data», в Windows Vista и 7 –  “X:UsersUsernameAppDataRoaming”, где X: – имя системного диска, Username – имя пользователя;

1. При этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;
2. Щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду «Delete File» (см. рисунок);
3. В появившемся диалоге подтвердить удаление файла нажатием на кнопку «Yes»;
4. Выйти из антируткита и перезагрузить компьютер.

Подробнее

[MORDRED 80]

Как хорошо, что я этой туфотой не пользуюсь

[Groft 65]

Как хорошо, что я этой туфотой не пользуюсь

Пользоваться скайпом или нет решает каждый сам. В данной теме не совсем понятно, к чему Вы это сказали?

[Сергей Ильин 1538]

Skype наиболее безопасное и функциональное средство общения по сети. Давно уже использую его как основной месенжер, средство для конференц-связи, часто звоню с него на обычные номера.

Все видимо забыли, что подобные атаки для ICQ давно стали нормой. В этом контексте атака с использование Skype выглядит также уникально, как троян для MacOS

[K_Mikhail 807]

Skype наиболее безопасное и функциональное средство общения по сети. Давно уже использую его как основной месенжер, средство для конференц-связи, часто звоню с него на обычные номера.

Посмотри ещё ooVoo.

Все видимо забыли, что подобные атаки для ICQ давно стали нормой. В этом контексте атака с использование Skype выглядит также уникально, как троян для MacOS

Выглядит. В 2007 было нечто похожее, когда в Skype червь Crazy распространялся.

[Umnik 997]

Все видимо забыли, что подобные атаки для ICQ давно стали нормой.

Проще. В ICQ клиентах уже 86 лет существуют антиспамы, которые отлично справляются. А также гибкая система видимости.