Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Lawina na Skypie

Dmitrij Bestużew
Kaspersky Lab Expert
Dodany 24 kwietnia 2013, 15:47 CEST
Tagi:

Na Skypie trwa nowa złośliwa kampania. Jest wciąż aktywna i ciągle zbiera swoje żniwo.

Wektorem infekcji są nadużycia z wykorzystaniem inżynierii społecznej, rozprzestrzeniane przy pomocy zhakowanych kont Skype'a, z których napastnicy masowo wysyłają do użytkowników wiadomości, takie jak:

i don't think i will ever sleep again after seeing this photo („nie sądzę, bym kiedykolwiek mógł / mogła zasnąć po obejrzeniu tego zdjęcia”) http://www.goo.gl/XXXXX?image=IMG0540250-JPG 
tell me what you think of this picture i edited („powiedz mi, co sądzisz o tym zdjęciu, które edytowałem / edytowałam”)http://www.goo.gl/XXXXX?image=IMG0540250-JPG 

Kampania jest aktywna, a jej efekt to około 10 tysięcy kliknięć w ciągu godziny, co daje około 2,7 kliknięcia w ciągu sekundy! Większość ofiar zlokalizowana jest w Rosji i na Ukrainie:

Skype_avalanche_1.png

Najprawdopodobniej wśród innych zainfekowanych krajów są: Chiny, Włochy, Bułgaria i Tajwan. Kampania wydaje się być aktywna od 1 marca 2013 r., czyli od dnia, w którym powstał skrócony adres URL Google, jednakże niesamowicie przybrała na sile w ciągu kilku ostatnich godzin. Poniższy wykres pokazuje liczbę kliknięć w ciągu ostatnich 2 godzin:

Skype_avalanche_2_auto.png

Serwis VirusTotal pokazuje, że złośliwe oprogramowanie, użyte we wspomnianej kampanii, jest wykrywane przez 29 z 46 rozwiązań antywirusowych. Produkty Kaspersky Lab wykrywają szkodliwą aplikację jako Trojan-Dropper.Win32.VB.nfd. Warto dodać, że jako jedna z pierwszych firm antywirusowych wykrywaliśmy nieznane wówczas zagrożenie, rozprzestrzeniane w tej konkretnej kampanii za pośrednictwem Skype'a, jako UDS:DangerousObject.Multi.Generic. Detekcja była możliwa dzięki naszej technologii chmury KSN.

Teraz kilka słów o samym szkodliwym oprogramowaniu. Zostało ono napisane w języku Visual Basic, a jego podprocedury noszą nazwy odpowiadające ludzkim imionom, takim jak Lenka, Pier, Christiane, Ryann itd. Poniżej znajdują się frazy, jakie są stosowane w ramach inżynierii społecznej szerzonej przez Skype'a:

hahaha
Is this you? („Czy to ty?”)
Picture of you? („To twoje zdjęcie?”)
Tell me what you think of this picture („Powiedz mi co myślisz o tym zdjęciu”)
This is the funniest picture ever! („To jest najśmieszniejsze zdjęcie, jakie kiedykolwiek widziałem / widziałam!”)
I cant believe I still have this picture („Nie mogę uwierzyć, że jeszcze mam to zdjęcie”)
Someone showed me your picture („Ktoś pokazał mi twoje zdjęcie”)
Your photo isn't really that great („Twoje zdjęcie wcale nie jest takie fajne”)
I love your picture! („Uwielbiam twoje zdjęcie!”)
What do you think of my new hair? („Co sądzisz o mojej nowej fryzurze?”)
You look so beautiful on this picture („Ślicznie wyglądasz na tym zdjęciu”)
You should take a look at this picture („Powinieneś / powinnaś zerknąć na to zdjęcie”)
Take a look at my new picture please („Proszę, zerknij na moje zdjęcie”)
What you think of this picture? („Co myślisz o tym zdjęciu?”)
Should I upload this picture on facebook? („Czy powinienem / powinnam zamieścić to zdjęcie na facebooku?”)
Someone told me it's your picture („Ktoś mi powiedział, że to twoje zdjęcie”)

Szkodliwe oprogramowanie posiada również zdolność rozprzestrzeniania się przez zainfekowane nośniki USB. Po pomyślnej infekcji i włączeniu komputera ofiary do botnetu, szkodnik używa protokołu IRC do komunikacji z centrum kontroli. Ścieżka dostępu w pliku projektu VB wskazuje na następującą lokalizację: C:\Users\s\Desktop\Must Use Different Name\HqwKH\avivah.vbp 

Na koniec dosyć interesująca rzecz:

Skype_avalanche_3_auto.png