恶意木马变种通过Skype大肆传播

Websense安全实验室最近发现了一种新型的Warezov/Stration恶意代码。这种新型的代码正在通过Skype网络进行传播。虽然这种新型代码本身不会进行自我传播，但是，当它运行的时候，就会向被感染用户的电子邮件联系人名单的所有用户，发送一个URL链接地址，诱惑这些用户下载恶意代码。

该恶意攻击与FSecure在2月27号发现的攻击有些类似，但是，新型的恶意攻击拥有新的URL信息和新版本的恶意代码。（http://www.f-secure.com/weblog/archives/archive-022007.html#00001126）。

Websense亚太区技术经理谭伟基说："随着越来越多的家庭和企业用户使用Skype，将来可能会有更多的恶意代码通过Skype进行传播。IT管理员建议用户通过相应的管理解决方案，来管理Skype的使用，以及降低由Skype和其它即时信息和VoIP工具所带来的安全风险。"

Skype用户会收到一条拥有"Check up this"提示语的信息，这个提示语包含一个超链接。当用户点击这个链接的时候，他们就会重新指向一个拥有"文件名_01.exe"程序的站点。接下来，就会提示用户运行这个文件（注：Skype没有漏洞）。如果用户运行了这个文件，其它的几个文件就会进行下载和运行。

下列文件是从不同域名加载的。这些域名在此预警发出之时，还在使用。

1e61617b7498c5cad41c4d26b8e4ca8c  file_01.exe
7c2b181ab4fbe858e22bbbdc725e4f53  gdi32.exe
7306bed6c39560ed78fe67cfc5e643c8  ndis.exe
5262a217d2ca7f28be6fc398d8f8aee3  sk.exe

被感染用户的电子邮件联系人也会收到一个URL。一旦木马安装到用户的系统，它就会尝试连接Yahoo的邮件服务器，并且发送SMTP信息。然而，Yahoo的邮件服务器看起来似乎没有运行，而且通信失败。这种交互操作可能是尝试通知黑客，有些电脑已经被感染了。

这种下载的文件是其它Warezov/Stration恶意代码的版本。该代码在用户的系统上打开了一个后门，并下载新的代码。