Skadelig kode rundsendes via Skype
CSIS har analyseret en trojansk hest, som rundsendes via Skype Chat. Vi udsendte allerede i går en advarsel om netop denne trussel til vores platinum kunder. Selvom truslen på nuværende tidspunkt er blevet isoleret, så bør man fremover, som privat bruger eller som virksomhed være opmærksom på den sikkerhedsrisiko der er forbundet med brugen af Skype og særligt i forbindelse med chat funktionen, som kan åbne for deling af binær kode.
Den skadelig kode ankommer til vilkårlige Skype brugere, som en fil med navnet sp.exe. Hvis en uforsigtig bruger vælger at acceptere kommunikationen og åbner den skadelige kode, vil den forbinde sig til en Command & Control server (C&C) placeret på en kompromitteret Microsoft Windows XP maskine i USA.
Serveren fodrer kompromitterede maskiner med en usædvanlig binær kode, som tilsyneladende er afhængig af forskellige udokumenterede Skype API/DLL'er.
Den optræder som et rootkit der hooker sig til explorer.exe processen, hvorefter den igen forbinder sig til C&C serveren. Fra C&C serveren kan der udstedes kommandoer og downloades yderligere kode til det inficerede system.
C&C serveren befinder sig på adressen nsdf.no-ip.biz og kommunikerer over TCP port 1100. Serveren er blevet null-routet, så den kan ikke længere kontaktes.
Koden, der oprindeligt blev nedhentet og kørt fra C&C serveren, er pakket med en særlig PE-pakker. Sandsynligvis NTkrnl Packer, som sælges fra websiden
http://www.ntkrnl.com. Udover at være pakket indeholder koden forskellige anti-debugging rutiner der besværlig analyse af filen.
Kodens formål er at stjæle forskellige former for login data, herunder passwords til eBay og Gmail.
Citat fra mail udsendt af Csis.
Med venlig hilsen chaufrat