Skype kampt met chattend virus

11/09/07 om 09:00 - Bijgewerkt om 08:59

Bron: Datanews

Er blijkt een virus rond te waren op het Skype-netwerk, dat bij infectie op eigen houtje een instantmessaginggesprek aangaat met de contacten van de gebruiker, in een poging ook hen te besmetten.

Er blijkt een virus rond te waren op het Skype-netwerk, dat bij infectie op eigen houtje een instantmessaginggesprek aangaat met de contacten van de gebruiker, in een poging ook hen te besmetten.

Van de malware, die sinds gisterochtend actief is, wordt melding gemaakt op het Skype-forum. De besmetting is door Skype zelf tevens officieel bevestigd. De worm heeft de naam w32/Ramex.A gekregen. Skype weet te melden dat F-Secure en Kaspersky hun antivirusproducten inmiddels hebben bijgewerkt om de malware te kunnen herkennen en verwijderen. Het bedrijf geeft ook een manier om de worm handmatig te verwijderen. Volgens Skype gaat het om 'slim geschreven' malware, die zich in verschillende gedaantes aanbiedt.

Volgens forumgebruikers zorgt het virus er na installatie voor dat de Skype-software op de achtergrond verbinding legt met alle personen in de contactenlijst en hen probeert over te halen een jpeg-beeld of een screensaver te openen - het gaat in alle gevallen echter om een scr-bestand. Contactpersonen zullen sneller geneigd zijn in de val te trappen, omdat ze denken dat de link van een bekende komt. Er zijn verschillende versies van de aanval in omloop, bij sommige krijgt het beoogde slachtoffer nota bene een verontschuldiging op het scherm dat de link eigenlijk voor iemand anders was bedoeld, met het vriendelijke verzoek er niet op te klikken. Die truc lijkt goed te werken, verschillende gebruikers geven aan hun nieuwsgierigheid niet te hebben kunnen bedwingen.

Omdat de worm zichzelf als standaardschermbeveiliging inschakelt gaat de malware ook aan het werk na het afsluiten van Skype en het actief worden van de screensaver. Het virus probeert zichzelf niet enkel door te sturen maar schakelt ook eventuele virusbeveiliging uit en wijzigt bovendien de hostsfile van het slachtoffer. Het effect hiervan is dat de sites van securitybedrijven zoals Kaspersky en Symantec onbereikbaar worden.

De malware, die herkenbaar is aan de aanwezigheid van de processen windrivs32.exe en mshtmldat32.exe, lijkt nog meer pijlen op zijn boog te hebben. Het zou in staat zijn om het starten van de Windows Registry-editor tegen te houden, evenals het draaien van de taskmanager via het drukken op control-alt-delete. Indien de gebruiker handmatig het taskmgr.exe-programma weet te starten, dan reboot de computer zestig seconden na het beëindigen van het windrivs32.exe-proces. Skype raadt dan ook aan om de computer in veilige modus op te starten, dan kunnen de virusverwijderingsstappen in alle rust worden doorlopen. Enkel Windows XP-systemen zouden vatbaar zijn voor een besmetting met w32/Ramex.A.

In samenwerking met [Computable]

Onze partners