Ihr aktueller Web-Browser zeigt die Seite möglicherweise nicht ordnungsgemäß an.

TrendSecure bietet die beste Leistung mit der neuesten Version von Microsoft Internet Explorer - oder - Mozilla Firefox .

Vorderste Verteidigungslinie

Skype Spyware entdeckt

Ein Wurm hat es auf die Benutzer der beliebten VoIP-Telefonanwendung Skype abgesehen. Er wurde vor Kurzem im asiatisch-pazifischen Raum gesichtet, insbesondere in Korea. Laut Websense nutzt der Wurm den Skype Chat, um eine Datei namens sp.exe herunterzuladen und auszuführen. Die Datei scheint dabei auch einen Kennwort stehlenden Trojaner abzulegen. Wurm und Trojaner sind mit NTKrnl Secure Suite, einem seltenen, aber nicht unbekannten Kompressionsformat gepackt.

"So weit, so gut: Noch ist uns nichts von einem globalen Ausbruch bekannt", so Paul Oliveria von Trend Micro. "Das heißt allerdings nicht, dass Skype-Benutzer nun einfach auf alle Links in ihren Chats klicken können."

Da die Spyware keine Skype-internen Sicherheitslücken auszunutzen scheint, muss der infizierte Link über die betroffenen Skype-Benutzer selbst versendet werden. Ist ein Benutzer infiziert, erhält er eine Meldung, dass ein Programm eine Verbindung herstellen möchte, und muss dies bestätigen. Daher sollten Benutzer keinem verdächtigen Programm den Zugriff auf Skype ermöglichen und nicht auf Links von unbekannten Absendern klicken.

Trend Micro hat dieser Kennwort stehlenden Komponente den Namen TSPY_SKPE gegeben. Es handelt sich nicht um die erste Malware/Spyware, die sich Skype zu Nutze macht: Im vergangenen Oktober wurde der Wurm WORM_SKYPERISE.A entdeckt.

"Während die aktuelle Spyware bereits eine bösartigere Schadensroutine (Informationsdiebstahl) verwendet, hat der Oktober-Wurm lediglich Eigenkopien an andere Benutzer weitergegeben", so Oliveria.

Die Verbreitungstechnik des Wurms ist zwar bekannt, doch VoIP scheint nun auch bei den Malware-Schreibern ein beliebtes Angriffsziel zu werden. Außerdem deuten die Kennwort stehlende Schadensroutine, die polymorphe Kompression zum Schutz vor schneller Entdeckung und ein bestimmtes Ursprungsland darauf hin, dass es sich um einen zielgerichteten, regionalen Angriff handelt.

Diese Spyware wird bereits mit dem neuesten Trend Micro Pattern entdeckt. Wenn die Benutzer den Anleitungen für die manuelle Entfernung folgen, können sie die infizierte Datei einfach löschen und den von der Malware erstellten Registrierungseintrag entfernen.

Die Trojaner-Spyware befindet sich auf einer bösartigen Website. Skype-Kontakte erhalten über die Chat-Funktion einen Link zu dieser Site mit der Aufforderung, darauf zu klicken. Der Wurm verwendet möglicherweise auch Social-Engineering-Techniken, indem er sich als "cooles Programm" anpreist. Zum Zeitpunkt, als der vorliegende Artikel geschrieben wurde, war die Site bereits nicht mehr verfügbar.

Bei einer ersten Analyse der eingesendeten Beispiele stellte das Service Team fest, dass es sich bei dieser Spyware um einen typischen Keylogger handelt, der die Tastatureingaben des Benutzers aufzeichnet und diese Daten in einer Textdatei sammelt. Diese Routine kann bösartigen Benutzern, wie beispielsweise externen Hackern, den unberechtigten Zugriff auf das Skype Konto eines betroffenen Benutzers und darüber hinaus möglicherweise auch auf Online-Konten, usw. ermöglichen.

Da das Service Team bisher erst zwei Einsendungen erhalten hat, geht Trend Micro davon aus, dass es sich um einen isolierten Vorfall handelt.

"Gemäß unseren Antiviren-Experten liegt die geringe Zahl der Einsendungen u.a. daran, dass die Echtzeit-Suchfunktion unserer Produkte diese Spyware bereits entdeckt und entfernt", so Oliveria. "Es könnte natürlich auch sein, dass die Skype Benutzer vorsichtig genug sind, um NICHT auf den verdächtigen Link zu klicken, oder dass die Malware-Schreiber einfach nur das Terrain auskundschaften wollten.

Aller Wahrscheinlichkeit nach wird es in Zukunft mehr VoIP-Bedrohungen geben. Denn der Vishing- (Phishing über VoIP) Betrug zieht bereits seine Kreise im Internet. Bei Wikipedia gibt es bereits einen Eintrag unter http://en.wikipedia.org/wiki/VoIP_spam in englischer Sprache zum "noch nicht vorhandenen Problem" des VoIP-Spam, genannt SPIT (Spam over Internet Telephony). Man kann sich also sicher sein, dass die Zukunft eher noch raffiniertere VoIP-Bedrohungen birgt.