Cybersecurity

Il virus viaggia su Skype

11 Ottobre 2012

Un tuo amico ti manda un link su Skype? Attento, potrebbe essere un virus.

Sta dilagando: tutti cliccano e nessuno ci pensa.
Non è il tuo solito amico che ti sta mandando su Skype un link divertente da guardare così puoi non lavorare.
È molto più grave: si tratta di un virus.

Un virus? Partiamo dall'inizio.

Questa mattina un mio contatto Skype mi manda un messaggio come minimo sospetto.
Il messaggio era il seguente: "Hey è la tua immagine del profilo nuovo?".

virus Skype

E mi invitava a seguire un link.
Il link porta a un file zippato (skype_06102012_image.zip o nomi simili) che contiene a sua volta un file eseguibile.
Se mandiamo in esecuzione quel file eseguibile, il danno è fatto.
Viene installato un virus di tipo trojan (dorkbot) sul sistema aprendo poi una backdoor, ovvero aprendo un passaggio di dati tramite internet lasciando l'utente all'oscuro.
Il pc a questo punto è dentro una botnet (una botnet è una rete formata da computer collegati a Internet e infettati da malware, controllata da un'unica entità, il botmaster).
Il link che vi arriva su Skype esiste sicuramente in inglese, tedesco e italiano, ma non mi sorprenderebbe se ci fosse in altre lingue: l'internazionalità aiuta la rapida diffusione del malware.
Non è chiaro quale sia la portata del potenziale danno che questo virus è in grado di fare, ma una cosa è certa: estranei hanno il controllo del vostro pc! No buono.

Come risolvere.

Riporto delle informazioni che sono state diffuse in rete dal blog di Sophos.
I computer che sono colpiti da questo virus hanno tutti in comune un file che si trova in questo percorso:

%PROFILE%Application DataJqfsfb.exe

Il virus quando entra in azione crea delle regole per andare automaticamente in esecuzione, e precisamente crea queste chiavi nel registry:

  • entry_location = "HKCUSoftwareMicrosoftWindowsCurrentVersionRun"
  • entry = "Jqfsfb"
  • description = "Skype"
  • publisher = "Skype Technologies S.A." 
  • image = "c:documents and settingssupportapplication datajqfsfb.exe" 
  • launch_string = "c:documents and settingssupportapplication datajqfsfb.exe"

Se cercate ulteriori informazioni su come funziona questo tipo di virus, vi consiglio di approfondire qui.
Negli ultimi anni anche Facebook aveva subito un attacco simile.
Questo mi porta a una considerazione finale, non c’è tecnologia che tenga: sono le abitudini delle persone o la "noncuranza" che permette a questo tipo di virus di diffondersi rapidamente.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (4)

Buongiorno delco90210,

sono ben contento se gli antivirus hanno iniziato a fermare questi tipi di attacchi.
Per contro non è mai opportuno appassre la guardia e diffidare sempre di cose "strane" o delle quali non si è ragionevolemente sicuri.

Quindi… sempre vigili!

Claudio Panerai,

io lo ricevo questo messaggio ma grazie a kaspersky pure total security 2.0 mi blocca codesti messaggi

delco90210,

Buongiorno signor Romolo,
accolgo volentieri le sue osservazioni perché mi permettono di spiegare un paio di concetti.

Il nostro blog vuole offrire contenuti di valore ai lettori; non vuole e non può essere un bollettino che avvisa quando stano per arrivare virus e malware. Vuole piuttosto informare "con cognizione di causa".
Infatti non abbiamo fatto copia e incolla di qualche news trovata sui siti americani; abbiamo visto con i nostri occhi (anzi con il nostro skype) che la cosa si stava diffondendo e abbiamo ritenuto opportuno dare qualche spiegazione in più ai lettori.
Quanto al silenzio assoluto di Avira avrà notato che Avira non è solita esprimere commenti quando si verifica un’infezione (non lo ha fatto per Conficker, Mariposa, Stuxnet o Flashback).

Una mia personale interpretazione di questo comportamento, coerente nel tempo, potrebbe essere che magari non vogliono speculare con l’allarmismo (atteggiamento che io condivido) o più probabilmente non sono strutturati per produrre statement ufficiali su quello che accade.

Infine, prendendo anche spunto dal suo commento abbiamo chiesto ad Avira un commento sul "virus di skype" e la loro risposta è stata che "Avira è già in grado di intercettare Avira i virus etichettati come TR/Agent.1212416 e TR/Injector.tcc".

Continui a seguirci!

Claudio Panerai,

Articolo chiaro ed esaustivo, peccato sia giunto alquanto in ritardo rispetto alla diffusione massiva del virus, inoltre non si spiega l’assoluto silenzio sul virus da parte di AVIRA

Romolo Tiraterra,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.