ALERTE Un vers se propage sur le réseau Skype et sa VoIP

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

Méthode d'infection :

Des que le code est exécuté, il copie ces fichiers dans le répertoire \Windows\System32 :

winlgcvers.exe mshtmldat32.exe wndrivs32.exe sdrivew32.exe

Il patche les clefs de registres :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Deux clefs sont crées :

HKEY_CURRENT_USER\Software\RMX

HKEY_LOCAL_MACHINE\SOFTWARE\RMX

Le vers télécharge son code sur les sites suivants :

cpa-site.com lookingat.us www.freewebs.com www.gamesforum.com www.kale45.php0h.com 4444mb.com zopa.110mb.com mylawsite.net attorney-site.com ragezone.com blog.co.uk kupralana77.110mb.com members.lycos.co.uk ragai.myartsonline.com bedclip.com alladultmale.com

Technologie de retrovirus :

Afin de ne pas être détecté, et lui permettant de changer son propre code malicieux à volonté, le vers patche le fichier HOSTS tous les sites des serveurs de mises à jour des antivirus les plus connus.

Nota : Ce fichier doit être, en théorie, vide de nom de domaines.

Recommandation :

Forcez les mises à jour des bases antivirales.

Si l'antivirus refuse de se mettre à jour :

- Ouvrez notepad puis accédez au fichier HOSTS situé dans c:\windows\system32\drivers\etc

- effacez les noms de domaines inscrits dans ce fichier

Voici pour exemple un fichier hosts sain :

- Relancez la mise a jour de votre antivirus