Skype: virus lo attacca, nuovo problema per il softwar voip più utilizzato al mondo

Gli utenti di Skype devono in queste ore prestare attenzione ai possibili attacchi un nuovo codice worm, Ramex.A - Skipi.A - Pykspa.D


Gli utenti di Skype devono in queste ore prestare attenzione ai possibili attacchi un nuovo codice worm, Ramex.A - Skipi.A - Pykspa.D, che si diffonde sfruttando il popolare software di telefonia VoIP. Notizie e dettagli sulla minaccia sono stati pubblicati anche sul blog Skype HeartBeat che si occupa di monitorare lo stato dei vari servizi offerti tramite Skype. L'attacco viene condotto con l'invio di un messaggio istantaneo tramite il client Skype che include un link. Il messaggio virale può arrivare da un contatto della propria rubrica o da un utente sconosciuto, tuttavia gli utenti devono prestare particolare attenzione perché sono state rilevate varie versioni del messaggio, che è stato programmato molto bene per trarre in inganno potenziali vittime.

Da Skype HeartBeat: "Skype è venuta a conoscenza di un nuovo virus informatico chiamato w32/Ramex.A che sta mettendo a rischio gli utenti di Skype su Windows. Gli utenti che vengono infettati con il virus invieranno un messaggio di chat ad altri utenti Skype chiedendo di cliccare su un link web in grado di infettare il computer della persona che riceve il messaggio. Vi preghiamo di notare che gli utenti Skype vengono infettati SOLO dopo aver scaricato il malware dal link ed eseguito il software sul PC.

Il messaggio di chat, in varie versioni, è programmato molto bene e può apparire come un messaggio legittimo, cosa che può trarre in inganno alcuni utenti inducendoli a cliccare sul link incluso. Skype si è messa in contatto con le principali aziende antivirus riguardo questo worm, e sappiamo che questi vendor stanno aggiornando i loro software per bloccare efficacemente questo worm e tutti i suoi effetti collaterali. Attualmente F-Secure, Kaspersky Lab e Symantec hanno già aggiornato I loro prodotti antivirus per rilevare e rimuovere il worm. Incoraggiamo i nostri utenti ad assicurarsi di star eseguendo un software antivirus sui propri computer ed a scaricare gli ultimi aggiornamenti in modo da ottenere la migliore protezione con questa e altre minacce."

Skype offre anche qualche dettagli più tecnico su w32/Ramex.A: "Quando un utente Skype riceve il messaggio chat in questione – sia dai propri contatti sia da utenti non presenti in rubrica – questo include un link internet. Invece dell'immagine .jpg a cui sembra puntare, il link effettivamente porta al file del virus. Cliccando sul link, si apre la finestra di dialogo Windows esegui/salva che chiede il permesso di salvare od eseguire un file .scr. Questo è il file del virus che non deve essere scaricato o eseguito. Se l'utente accetta il file, tuttavia, il PC Windows viene infettato dal virus w32/Ramex.A .

Il worm sfrutta la Application Program Interface (API) pubblica di Skype per accedere al PC. Esistono due modi per eliminare il worm: un modo normale ed un più tecnico. La maggior parte degli utenti non dovrebbero tentare di modificare il registro del computer manualmente. Per la maggior parte delle persone, scaricare e/o aggiornare il proprio software antivirus, ed eseguire un scan del loro computer per rilevare e rimuovere il worm, è il modo più semplice per agire".

Gli utenti più esperti possono però rimuovere il virus anche manualmente seguendo questa procedura:  1. Riavviate il PC in Modalità Provvisoria.  2. Eseguite Regedit.  3. Recatevi nella chiave di registro HKLM/software/microsoft/windows/currentversion/runonce, trovate ed eliminate la voce mshtmldat32.exe.  4. Andate in WindowsSystem32 ed eliminate i seguenti file: wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe, sdrivew32.exe.  5. Andate in windows/system32/drivers/etc, aprite il file "hosts" con il notepad, ed eliminate tutte le voci aggiunge dal worm per impedire l'aggiornamento dei software di sicurezza (una lista è disponibile nella scheda tecnica del worm pubblicata da Trend Micro. Salvate il file hosts e riavviate in modalità normale.

Aggiungiamo che secondo F-Secure, che ha classificato il malware come W32/Skipi.A, il codice virale genera un copia di se stesso anche in tutti i drive rimovibili con il nome "game.exe".

di Marcello Tansini Fonte: pubblicato il