Пользователей Skype атаковал вирус

Пользователи сервиса Skype начали получать от своих друзей в списке контактов ссылку, которая ведёт на сайт с вредоносным файлом. В сообщении, сопровождающем ссылку, спрашивают, действительно ли это новое изображение пользовательского профиля.

Как рассказали в службе технической поддержки антивирусной компании «ВирусБлокАда», «Вы можете получить личное сообщение от одного из ваших контактов вида: «ey eto vasha novaya kartina profil'?» со ссылкой. НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕХОДИТЕ ПО ССЫЛКЕ! Обязательно проверьте настройки скайпа, чтобы избежать распространения вируса».

Сделать это можно, проверив настройки клиента Skype:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других програм к Skype – не должно быть никаких программ.



Перед тем, как перейти по сокращенной ссылке, проверьте её с помощью сервиса расшифровки линков, например longurl.org. При расшифровке обратите внимание на доменное имя сайта, который может перенаправить вас на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Вирусный аналитик компании «ВирусБлокАда» Алексей Герасименко отмечает:

–  По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно. После запуска копирует себя в папку %APPDATA% со случайным именем наподобие Yojwju.exe, регистрирует этот файл в автозапуске Windows (в частности, в ветку HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run). Содержит в себе бэкдор-компоненту для подключения заражённого компьютера в ботнет. Команды от управляющего сервера передаются по IRC протоколу. Крадёт пароли к учётным записям от таких сервисов, как YouTube, Gmail, Facebook, Letitbit, Sms4file, Vip-file, и др. Блокирует доступ к сайтам, доменные имена которых содержат следующие строки:

webroot., fortinet., virusbuster., nprotect., gdatasoftware., virus., precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton., norman., mcafee., symantec, comodo., avast., avira., bitdefender., eset., kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.

Содержит функционал для проведения DDoS-атаки и перенаправления пользователя на вредоносные сайты. Характерная черта Worm.NgrBot – для определения IP-адреса заражённого компьютера обращается на сайт api.wipmania.com. Может распространяться через флэш-носители, используя широко известный механизм автозапуска посредством файла autorun.inf. При этом вредоносный файл располагается в скрытой папке RECYCLER. Распространяется через социальные сети, отправляя ссылки на себя в популярных социальных сетях и сервисах обмена мгновенными и сообщениями (Vkontakte, Facebook, Twitter и т.д.)



Один из вариантов лечения:

Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;
2. Выбрать в меню Tools > Low Level Disk Access Tool;
3. В левой части окна утилиты «Level Disk Access Tool» выбрать путь к папке %APPDATA%.
Например, в ОС Windows XP путь к %APPDATA% имеет вид "Х:Documents and SettingsUsernameApplication Data", в Windows Vista и 7 – “X:UsersUsernameAppDataRoaming”, где X: - имя системного диска, Username – имя пользователя;
4. При этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;
5. Щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду «Delete File» (см. рисунок);
6. В появившемся диалоге подтвердить удаление файла нажатием на кнопку «Yes»;
7. Выйти из антируткита и перезагрузить компьютер.