透過Skype傳播的病毒

[ellery]

今下午敝公司有一堆人中了這個毒, 是打開了skype上連絡人傳的檔案或網址後發生的. 檔案icon偽裝成圖檔, 但實際上是個.scr檔(scrrensaver)

症狀是:
[1]會執行 wndriv32.exe, 殺了以後仍會再起.
[2]skype會不能正常使用(視窗打不開也無法設狀態, 要用工作管理員強制殺掉)
[3]工作管理員及regedit會無法開啟(開啟後被關掉)
[4]會寫入一堆防毒公司網址及對應ip到 host 檔案內, 企圖讓病毒碼更新失敗.

skype官網論壇上的討論:
http://forum.skype.com/index.php?sho...6598&hl=wndriv
http://forum.skype.com/index.php?sho...6573&hl=wndriv

VirusTotal上測試的結果:
http://www.virustotal.com/resultado....44affb10691713

另外附上已壓縮加密碼(pczone)的病毒檔, 請小心使用...

[Dave-NAK]

真想哭~~~一堆人感染了~~~

[ellery]

這個毒害我不能準時下班回去看《烏龍派出所》
可惡可惡!

[Dave-NAK]

一定是看我太閒了
閒閒沒事~~~

[ellery]

卡巴已回覆:

您好

卡巴斯基可偵測此檔案為病毒 : 病毒 Worm.Win32.Skipi.c ( 2007/09/10 17:46 資料庫 )

請更新病毒碼　並進行掃描

[b0913]

看來明天要關閉一下skype 全公司 掃毒一下囉～

[ellery]

http://taiwan.cnet.com/news/software...0123487,00.htm

新變種蠕蟲綁架Skype、關閉防毒軟體

記者馬培治／台北報導　　10/09/2007

即時通訊與VoIP軟體Skype今(10)天傳出遭蠕蟲攻擊事件，受感染用戶無法使用該軟體、防毒軟體也會被關閉，Skype表示正積極處理中。

近幾個月以來在Windows Live Messenger(MSN)使用者間傳佈、以相片作為誘餌的病毒疑似出現Skype版本。Skype台灣區總代理PChome Online今表示陸續接獲用戶與內部使用者發出疑似Skype病毒的通報指出，在收到Skype連絡人傳來的連結，點擊並下載、執行該連結指向的圖片檔後，便會發生Skype被強制停留在「勿打擾」狀態，無法更動、使用的狀況，且會持續送出該惡意連結給其他連絡人，「如同把Skype綁架，」 PChome Online行銷處總監曾薰儀說。

不過由於攻擊是今天早上才被發現並通報，包括Skype、資安廠商都未能提出損害估計以及解決之道。

資安業者初步分析，該病毒除了會鎖住Skype並持續散佈之外，還會關閉防毒軟體的自動防護功能，降低電腦的安全性。趨勢科技技術顧問簡勝財表示，該公司今天收到多間客戶回報此一威脅，目前已將樣本後送至分析單位處理，詳細結果尚未出爐，但表示將依該公司病毒碼釋出的流程作業，最快今晚，慢則明天便應會有新病毒碼釋出。

根據使用者在Skype官方討論區的留言與Skype的整理，已發現的惡意連結多半還會配合如「Where I put your photo. (這是我存放你照片的地方)」、「oh sry not for you(抱歉不是給你的)」等社交工程內容，吸引使用者點選並下載一偽裝成jpg格式圖檔的惡意程式。

PChome Online目前初步懷疑此惡意程式是早前蠕蟲的新變種再次爆發，曾薰儀表示，已在本地官方網站上警告使用者勿開啟相關連結，並將相關訊息彙整送交Skype總公司，尋找解決之道。

去(2006)年底，資安廠商Websense與CA相繼發現透過Skype傳佈的蠕蟲與木馬程式，同樣也是透過要求使用者下載、執行特定檔案的方式散怖。

不過資安業者對此一今天才被陸續通報的新威脅表示仍在分析中，簡勝財便說，分析結果尚未公佈，究竟此次爆發的感染源是Skype舊蠕蟲或MSN病毒的變種、還是新種惡意程式，尚難斷言，但他呼籲使用者不論狀況為何，都不應點選任何不明連結。

對於蠕蟲影響狀況，PChome表示尚難評估。不過包括Skype英文官方網站討論區、PChome維運的台灣官網討論區，乃至BBS站PTT等，都已陸續有使用者通報中毒或留言討論此一事件。甚至Pchome內部亦有部分員工電腦中了該蠕蟲，其中還包括台灣地區Skype負責人、PChome Online通訊應用服務部副總經理羅子亮的Skype帳號，也一度對外發出惡意連結。

Skype目前台灣地區共有約600萬名免費用戶，包括60萬SkypeOut付費用戶。

[天氣預報]

賽門鐵克認定為W32.Pykspa.D.

[algolee]

好多人都去點那個連結
結果都中了
好高興~~~~
剛好趁這次進行機會教育

[b0913]

skype官方討論區公佈解毒方式
來源網址：http://vas.skype.pchome.com.tw/forum...cId=4772<br />

親愛的用戶，您好：

Skype 已經得知有一個名為 “w32/Ramex.A” 的電腦病毒會對 Windows 版本的 Skype 造成影響。遭到感染的電腦，會自動對其他的 Skype 用戶發出 Skype 聊天室文字訊息，其中包含一個網址，而這段訊息會要求用戶點擊該連結。請注意：除非 Skype 用戶下載該網址連結的程式，並執行這個惡意軟體，否則不會受到病毒感染。至於這段文字訊息，已知有好幾種版本，非常狡猾地以看似親切的日常對話，企圖誘使用戶在不經意之下點擊其中的連結。

Skype 已經聯繫了主要的防毒軟體公司，通報這隻蠕蟲，而我們也得知他們正在更新他們的軟體，以便能有效地遏止這隻病毒肆虐。到目前為止，F-Secure (www.fsecure.com) 以及卡巴斯基實驗室 (www.kaspersky.com) 都已經更新了他們的防毒產品，可以偵測並移除這隻蠕蟲程式。

在這裡建議各位用戶先確認您的防毒軟體是否仍能正常運作。並請持續下載最新的防毒更新檔、執行防毒、掃毒等指令，即可避免受到這個病毒或是其他惡意軟體的騷擾。

再次提醒各位用戶，切勿點選不明的網址連結，或任意下載軟體，以免造成損害。

更多資訊請至 http://heartbeat.skype.com 。

若已感染此病毒之用戶，可依照下列方式"手動"進行病毒解除：
(本方法僅適用於電腦程度進階用戶，此方式具有風險性，用戶必須為會進入安全模式且具有修改REGISTRY經驗再進行之，若電腦程度尚淺之用戶請勿任意嘗試！)

1. 拔除網路線，重新開機，在電腦開機過程中，顯示完硬體清單，進入WINDOWS開機畫面（螢幕出現WINDOWS圖片前）前，按下F8，進入開機選項清單，選擇安全模式後，按ENTER，進入安全模式。

2. 在C:\Windows\System32 找到並刪除以下檔案： wndrivs32.exe , mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe

3. 以Notepad開啟C:\windows\system32\drivers\etc\hosts，按下CTRL+A , 直接刪除全部的列表 (此行為將會暫停您的防毒更新),存檔後並關閉檔案。

4. 然後在「開始」--＞ 「執行」中打 "regedit"後按ENTER，此時會開啟registry editor。

5. 在畫面左欄依路徑找 HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/runonce 路徑，點擊RUNONCE 在畫面右欄找 mshtmldat32.exe 並刪除之。

6.重新啟動電腦。