随着雅虎通和MSN等流行聊天工具遭到IM蠕虫病毒的大规模侵袭,Skype用户也没能逃离网络威胁。据BitDefender病毒实验室监控的最新数据, BitDefender已经发现了一种新的Skype病毒,该病毒的防杀效果非常强悍,即采用多种自我保护技术来防止被杀毒软件查杀。一旦侵入到计算机中,就非常顽固,难以移除。BitDefender将其命名为:Backdoor.Tofsee。
Backdoor.Tofsee蠕虫利用社会工程学的原理进行复杂的攻击,首先诱导用户本地下载和执行病毒。通过寻找系统区域的设置(国家、语言和流通货币)来选择语言种类并发送信息。它能使用英语、西班牙语、意大利语、荷兰语、德语和法语向Skype或雅虎通传输病毒,聊天信息会被远程监控并随时可以改变。
另外,为了避免嫌疑,蠕虫病毒只在在线聊天中发送信息,而非随机发起单向聊天。一旦点击病毒链接,粗心大意的用户会间接进入一个冒充Rapidshare的页面。
如果用户点击伪造的Rapidshare下载链接继续下载程序,他会接收到一个名为NewPhoto024.JPG..zip的压缩文档。解压此文档后即释放一个带有欺骗性名称的可执行文件NewPhoto024.JPG_www.tinyfilehost.com。该文件酷似JPG格式文件,实际上是一个.Com的可执行病毒。一旦被执行,该病毒就会查询Windows 注册表确认Skype或雅虎通是否已安装。如果没有Skype和雅虎通,蠕虫病毒就会自行退出。一旦发现,病毒会通过查看性能计数器确保其没有被杀毒软件分析。
如果它检测到自身在杀毒软件的虚拟机或调试器中运行,蠕虫病毒会自动终结,否则就创建一个待安装的子线程,然后注入蠕虫病毒的解密覆盖层。注入成功后,子行程重新开始,母行程自动终结。
除此之外,为了躲避杀毒软件的查杀,蠕虫会布署最后一道防线:将Rookit驱动安装在系统中。它会实时监控全球因特网受感染主机的行为,并阻止登陆反病毒厂商的官方网站、在线扫描网站、技术支持论坛等,当然还包括Windows Update网站。该蠕虫病毒还“创新性”地阻止链接某些有专杀工具和具备反病毒模块的知名下载门户网站。
成功侵入系统后,病毒加入Windows开始菜单;同时关闭Windows防火墙破坏本地安全系统,允许远程攻击者链接病毒后门程序。更糟糕地是,Rootkit能够阻止任何反病毒产品的安装。
Backdoor.Tofsee除了感染本地计算机,还会通过众多手段传播。一方面蠕虫会通过Skype和雅虎通不断发送垃圾消息到好友列表,诱惑其点击;同时还会不断地搜寻本地系统中已连接的可移动磁盘。一旦发现有可移动设备,就会创建一个名为~Secure的病毒文件夹到其中,然后创建autorun.inf,将autorun.inf指向~Secure。同时也生成一个名为Temp002的二级文件夹,在其中植入Vaklik.AV病毒。
Backdoor.Tofsee是允许远程攻击者为谋取非法利益而全面控制感染主机的高危恶意软件。为了保护您的计算机的安全,BitDefender温馨提示:建议您安装并定期更新全面的带有反垃圾邮件、反钓鱼、反病毒和防火墙模块的反恶意软件解决方案。