Червь Mal/Pykse-A – девушка на шпильках несет угрозу через Skype // 30 Ноября 2012

В понедельник 16 апреля 2007 г. множество российских и зарубежных компаний столкнулись с новым сетевым червем, который в классификации компании Sophos получил название Mal/Pykse-A.

Отличие новой угрозы заключается в том, что первичное заражение происходит через ссылку в текстовом сообщении системы Skype, популярного VoIP-инструмента для голосового общения через Интернет.

Интернет-телефон Skype, не будучи единственным решением такого рода, завоевал широкую популярность во всем мире, и было бы наивным предполагать, что такой популярный инструмент не будет использован злоумышленниками для своих неблаговидных целей. Кроме основной функции, голосового общения с собеседниками через Интернет-подключение, Skype предлагает возможность текстового чата, аналог систем мгновенного обмена сообщения типа ICQ, AOL Instant Messenger, Jabber и др. Именно эту функцию избрали вирусописатели для новой атаки.

Механизм первичного заражения червем Mal/Pykse-A не слишком сложен – подключенному к сети пользователю Skype приходит текстовое сообщение со ссылкой на фотографию молодой девушки по имени Сандра (в известных вариациях вируса). При переходе по этой ссылке действительно отображается фотография едва одетой женщины в туфлях на шпильке. Однако снимок загружается только после того, как на компьютер пользователя незаметно загружается «троянец»-установщик, который затем и устанавливает ту самую вредоносную программу Mal/Pykse-A.

После заражения червь начинает рассылать копию себя по всем найденным на компьютере адресам электронной почты, прописывается в реестре, загружает дополнительный вредоносный код и устанавливает в браузер собственный элемент управления. После запуска червя перед пользователем открываются окна с произвольными сайтами - пока это зеркальные копии вполне легальной страницы «Living Africa» с сайта library.thinkquest.org – но уже сейчас в этих ложных копиях присутствуют скрытые фреймы, через которые происходит загрузка на компьютер различного рекламного контента. В будущем, как предупреждают эксперты, через эти фреймы может загружаться любой, в том числе вредоносный код, который будет исполняться совершенно незаметно для пользователя.

Опасность новой угрозы оценивается как низкая, но сам механизм распространения, по словам экспертов компании Sophos, заслуживает пристального изучения. Появление и молниеносное распространение червя Mal/Pykse-A еще раз подтверждает, насколько важно организовать в корпоративной (да и в домашней) сети аудит и контроль всех исполняемых приложений.