Neuer IM-Wurm verbreitet sich über Yahoo und Skype

Sicherheitsexperten von Bkis warnen vor einer neuen Variante des kürzlich entdeckten Wurms „W32.Yimfoca„. Der auf den Namen W32.Skyhoo.Worm getaufte Schädling verbreitet sich auf Windows-Systemen anders als sein Vorgänger nicht nur über Yahoo Messenger, sondern auch über Skype.

Er ist Bkis zufolge wesentlich ausgefeilter, was Täuschungsmanöver und Malware-Funktionen angeht als Yimfoca. Anwender von Skype oder Yahoo Messenger sollten jedenfalls sehr vorsichtig sein, wenn sie von ihren Freunden plötzlich Links auf Bilder geschickt bekommen.

Der Wurm verbreitet sich über Nachrichten wie „Does my new hair style look good? bad? perfect?“ („Sieht meine neue Frisur gut aus? Schlecht? Super?“) oder „My printer is about to be thrown through a window if this pic won’t come out right. You see anything wrong with it?“ („Mein Drucker fliegt jetzt gleich aus dem Fenster, wenn er das Bild nicht vernünftig ausgibt. Kannst Du irgendeinen Fehler entdecken?“).

Die Nachrichten verbreiten gleichzeitig einen Link zu einer Bilddatei im JPEG-Format oder zu einer Website mit einem Bildlink. Klickt man darauf, wird eine Webseite aufgerufen, die wie eine Rapid-Share-Hosting-Seite aussieht. Dort kann das Opfer eine Archivdatei im ZIP-Format herunterladen. Der Inhalt des Archivs ist als JPEG-Bild getarnt, aber in Wirklichkeit eine ausführbare „.COM“-Datei – der eigentliche Virus.

Ist auf dem infizierten Rechner weder Skype noch der Yahoo Messenger installiert, beendet sich der Wurm sofort wieder. Gibt es aber eines dieser Programme, beginnt er laut Bkis Mitteilungen an die Kontakte des Opfers zu versenden. Auch E-Mail-Nachrichten sowie Word- oder Excel-Dateien, die das Opfer erstellt, würden infiziert.

Zusätzlich verbindet sich der Wurm mit einem IRC-Server (Internet Relay Chat) im Internet, von dem aus er Befehle erhält. „W32.Skyhoo.Worm“ kann sich mit Rootkit-Techniken verstecken und Antiviren-Programme sowie etwa 700 Security-Websites blockieren. Außerdem soll er sich automatisch auf angeschlossene USB-Datenträger kopieren.

Auch der Vorgänger „W32.Yimfoca“ täuschte einen Bildlink vor, um Anwender von Yahoo-Messenger dazu zu bringen, ihn herunterzuladen. Die Nachrichten schienen von Freunden oder Bekannten zu kommen. Eine typische Yimfoca-Nachricht enthält nur eines der Wörter „foto“, „photo“ oder „photos“ zusammen mit einem Smily. Es folgt ein Link, der scheinbar auf eine Facebook-, MySpace– oder Bilderhosting-Seite verlinkt.


Der neue IM-Wurm tarnt sich als von einem Freund geschicktes Foto (Screenshot: Bkis).

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago