Neuer IM-Wurm verbreitet sich über Yahoo und Skype

Sicherheitsexperten von Bkis warnen vor einer neuen Variante des kürzlich entdeckten Wurms „W32.Yimfoca„. Der auf den Namen W32.Skyhoo.Worm getaufte Schädling verbreitet sich auf Windows-Systemen anders als sein Vorgänger nicht nur über Yahoo Messenger, sondern auch über Skype.

Er ist Bkis zufolge wesentlich ausgefeilter, was Täuschungsmanöver und Malware-Funktionen angeht als Yimfoca. Anwender von Skype oder Yahoo Messenger sollten jedenfalls sehr vorsichtig sein, wenn sie von ihren Freunden plötzlich Links auf Bilder geschickt bekommen.

Der Wurm verbreitet sich über Nachrichten wie „Does my new hair style look good? bad? perfect?“ („Sieht meine neue Frisur gut aus? Schlecht? Super?“) oder „My printer is about to be thrown through a window if this pic won’t come out right. You see anything wrong with it?“ („Mein Drucker fliegt jetzt gleich aus dem Fenster, wenn er das Bild nicht vernünftig ausgibt. Kannst Du irgendeinen Fehler entdecken?“).

Die Nachrichten verbreiten gleichzeitig einen Link zu einer Bilddatei im JPEG-Format oder zu einer Website mit einem Bildlink. Klickt man darauf, wird eine Webseite aufgerufen, die wie eine Rapid-Share-Hosting-Seite aussieht. Dort kann das Opfer eine Archivdatei im ZIP-Format herunterladen. Der Inhalt des Archivs ist als JPEG-Bild getarnt, aber in Wirklichkeit eine ausführbare „.COM“-Datei – der eigentliche Virus.

Ist auf dem infizierten Rechner weder Skype noch der Yahoo Messenger installiert, beendet sich der Wurm sofort wieder. Gibt es aber eines dieser Programme, beginnt er laut Bkis Mitteilungen an die Kontakte des Opfers zu versenden. Auch E-Mail-Nachrichten sowie Word- oder Excel-Dateien, die das Opfer erstellt, würden infiziert.

Zusätzlich verbindet sich der Wurm mit einem IRC-Server (Internet Relay Chat) im Internet, von dem aus er Befehle erhält. „W32.Skyhoo.Worm“ kann sich mit Rootkit-Techniken verstecken und Antiviren-Programme sowie etwa 700 Security-Websites blockieren. Außerdem soll er sich automatisch auf angeschlossene USB-Datenträger kopieren.

Auch der Vorgänger „W32.Yimfoca“ täuschte einen Bildlink vor, um Anwender von Yahoo-Messenger dazu zu bringen, ihn herunterzuladen. Die Nachrichten schienen von Freunden oder Bekannten zu kommen. Eine typische Yimfoca-Nachricht enthält nur eines der Wörter „foto“, „photo“ oder „photos“ zusammen mit einem Smily. Es folgt ein Link, der scheinbar auf eine Facebook-, MySpace– oder Bilderhosting-Seite verlinkt.