Lurer deg med LOL
En ny og skummel orm spres gjennom Skype. Deretter krever den løsepenger.
Har du fått lynmeldingen "lol is this your new profile pic?" på Skype?
Meldingen, som tilsynelatende kommer fra en av kontaktene dine i Skype-programmet, leveres med en lenke. Klikker du på den blir du bedt om å laste ned en zip-fil.
Åpner du denne filen, kan du bli smittet av trojaneren Troj/Agent-YCW, som raskt oppretter en bakdør som en skurk kan utnytte til å ta kontroll over pc-en din med, melder Sophos Naked Security.
Ransomware
Etter bakdøren er opprettet og skurkene har tilgang til pc-en din, laster de opp en skadevare av formen "ransomware".
Denne skadevaren låser pc-en din, og krever penger for å låse den opp. Den spesielle varianten som spres via Skype krever at du betaler 200 dollar innen 48 timer, ved bruk av en Moneypak-kode. Ellers slettes filene dine.
Om ikke det var ille nok, forsøker skadevaren å skremme deg til å betale ved å presentere et skjermbilde som hevder at pc-en din er brukt til å utføre en rekke ulovlige handlinger, av mer eller mindre alvorlig natur.
Blant annet hevder programmet at pc-en er blitt brukt til å laste ned ulovlig pronografi, piratkopiert musikk eller film, hasardspill eller til å kjøpe narkotika på nettet.
Til slutt advarer programmet om at dersom du ikke betaler, vil all informasjon bli sendt til myndighetene, ofte et "special Department of US government", skriver Cnet.
Det hele er bare tull og tøys og skal skremme deg til å punge ut penger til skurkene.
Om du skulle være så uheldig å falle for trikset og betale - så vil maskinen din fortsatt være både låst og infisert. Så det er best å holde på pengene.
Dorkbot botnet
Som en del av LOL-pakken, blir infiserte maskiner innrullet i en variant av Dorkbot-botnettet, noe som åpner for en rekke nye muligheter for svindel og fanteri.
Blant annet kan maskinen brukes til såkalt "click-fraud" hvor maskinen på egenhånd "klikker" på forskjellige reklamelenker, som igjen gir inntekter til skurkene.
Ifølge Cnet er det rapportert over 2.000 slike klikk på ti minutter.
Du kan forøvrig enkelt sjekke om du har blitt lurt.
Sophos Naked Security har detaljene, og skriver at skadevaren legges i brukerprofilen på pc-en under %PROFILE%\Application Data\Jqfsfb.exe
I tillegg oppretter skadevaren en autostart-funksjon i registeret, skriver Sophos:
entry_location = "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" entry = "Jqfsfb" description = "Skype " publisher = "Skype Technologies S.A." image = "c:\documents and settings\support\application data\jqfsfb.exe" launch_string = "C:\Documents and Settings\support\Application Data\Jqfsfb.exe"
Skype undersøker
Den nye trusselen ble først kjent for rundt en uke siden av GFI Labs, og Skype er i full gang med å etterforske saken.
- Vi er klar over den skadelige aktiviteten og jobber for å dempe gjennomslagskraften, heter det fra i en melding fra Skype.
Selskapet anbefaler også at brukere oppdaterer programvaren sin, inkludert Skype-applikasjon, operativsystem og antivirus.
- I tillegg, å følge lenker - selv fra kontaktene dine - som virker snåle eller uventet er ikke anbefalt, heter det fra selskapet.
