猛威を振るってるらしいSkypeのスパム[lol is this your new profile pic?]

2012年10月7日日曜日

PC Skype

t f B! P
2012年10月7日の情報です。

今朝のお話。

とりあえずの対処法は下の方に書いた。

他の参考になるリンク:
Skype Support Network
【注意喚起】短縮URLを受け取った際は注意しましょう

E Hacking News
http://www.ehackingnews.com/2012/10/skype-spam-abuse-google-url-shortner-trojan.html

ITライフハック
http://itlifehack.jp/archives/7499057.html

最近流行ってるSkypeウィルスを綺麗さっぱり消すバッチファイル
http://kuku.neko2.net/?num=2793

「lol is this your new profile pic? http://goo.gl/*****?img=SkypeID」
の様なチャットが送られてくる、そのURL。

リンク先はhotfile.comに繋がってます。

[skype_06102012_image.zip] ZIPファイル
CRC:EEE433DB
MD5:017F6AB61294A36A2BAA334B7A5A6ACC

これを解凍すると
[skype_06102012_image.exe]
CRC:A1E9103B
MD5:E8E2BA08F9AFF27EED45DAA8DBDE6159


UDS:DangerousObject.Multi.Generic検出

https://www.virustotal.com/file/2434753231f391a1f97d75c48db48fd6641879760c4f69d04274195ae6e999b4/analysis/1349586985/

ちなみに今回のSkypeAPIを利用したウイルスは現在「Kaspersky」「G-DATA」「AhnLab-V3」「BitDefender」「DrWeb」「Fortinet」「Ikarus」「Panda」などでウイルスとして検出可能となっています。

 10/8午前現在
各セキュリティソフトが徐々に検出可能になりました。
これは各社の対応スピードが実際に現れた結果になりました。

私が最初に存在を確認した10/7 6:30頃に
カスペルスキーは既に、悪意のあるソフトだと判断してくれました。

カスペルスキー 2013 30日無償試用版
http://www.kasperskystore.jp/trial/2013/kis.html



skype_06102012_image.exeを実行すると、数秒でこのファイルが消えます。
バックグラウンドでIEが起動しました、プロセス上。
後は本体どこに隠れんぼしてるかな・・・と。

作業の前に、SkypeとIEを閉じます。
[%AppData%]を開くために、
キーボードのWindowsボタン(押すとスタートメニューが出るやつ)
を押しながら、 [R]キーを押します。
[ファイル名を指定して実行]画面に、 %AppData% と打ち、[OK]を押す
AppDataのフォルダを見ることができます。


普通は存在しない[Tluuun.exe]というファイルが有りましたとさ。
ただランダム文字の可能性があるので、名前が違う可能性有り
exeファイルは複数存在してる可能性が高いそうです

隠しファイル・フォルダは表示出来る設定にすると吉。
Windows の隠しファイルや隠しフォルダーを表示する方法
同時に一番下位にある、[保護されたオペレーティング システム ファイルを表示しない(推奨)]
もチェック外すとシステム属性のファイルも見る事が出来ます。

とりあえず、これを消しましょう。
スパイウエア動作をしてたら心配なので、除去後パスワード変更もお勧め。

SkypeAPIの設定をいじって、同じ名前のコントロールが存在する場合は
拒否しちゃいましょう!

━━━━━━━━━━━━━━━━━━━━━━━━━━

/(^o^)\ナンテコッタイ日本語版
ブログコメントより。
----
ちょっとこれはあなたの新しいプロフィールの写真ですか?
bit.ly/Q4PJwi?img=SkypeID

リンク先は英語版と同じくhotfile.comです。
----

[Skype_image.zip] ZIPファイル
CRC:12A73627
MD595592FBF1579049A76ADB0D5C75C2ABA

これを解凍すると
[DCIM_Skype_000001912389749812509890239498.exe]
CRC:6282C675
MD5:FC7B54092C89C8932522E991053DADE3



簡単になりますが、
コメントで新規・修正などの情報を下さった方々へ、ありがとうございます。

現在時間の余裕が無いので、細かい調べ事は出来ないと思う。
コメントの返事が出来ない状況ですか、時々目通します。

ここの記事内容以上に、種類が増加してるらしいです。
速報としての役目は終えたので、又どこかで会ったらよろしく。
ぐっどらっく。

【スカイプのメッセージ経由におけるウイルスについて】Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1495286074

Skypeで謎の不在着信が多数件
http://blogger.lemonkaju.net/2012/10/skype_10.html 

フォロワー

ブログ アーカイブ

QooQ