Worm in the skype
Par Fabien PERIGAUD, lundi 16 avril 2007 à 14:35 :: General :: #133 :: rss
Un nouveau ver est actuellement en activité sur le réseau Skype. Il a notamment été identifié par F-Secure sous l'appellation IM-Worm:W32/Pykse.A.
Il se propage en envoyant un message à tous les contacts d'un utilisateur infecté, leur proposant un lien vers un fichier image accompagné d'un court message ou d'une émoticône. Le ver prend aussi soin de placer l'utilisateur infecté en mode "Do Not Disturb", afin que celui-ci ne reçoive pas de nouveaux appels et messages.
Un clic sur le lien provoque le téléchargement d'un malware et l'affichage de la photo d'une demoiselle légèrement vêtue, afin de détourner l'attention de l'utilisateur piégé. Le ver semble avoir été conçu afin de promouvoir les sites web suivants :
- http://aras.lookingat.us/index.htm
- http://asilas.my-php.net/index.html
- http://bobodada.3-hosting.net/index.html
- http://bobos45.bebto.com/index.html
- http://gogo442.hatesit.com/index.html
- http://jackdaniels.110mb.com/index.html
- http://timboss.1majorhost.com/index.html
- http://zozole.php0h.com/index.html
Les sites ont tous l'aspect suivant :
Le malware se connecte aussi au site http://aras.allfreehost.net/cal***nt.php, qui semble agir comme un compteur pour déterminer le nombre d'utilisateurs infectés.
Encore une fois, il est bon de rappeler qu'il est dangereux de cliquer sur des liens dont le nom semble attrayant lorsque vous ne connaissez pas l'expéditeur, ou si le message associé ne semble pas naturel.