Пользователи сервиса Skype начали получать от своих друзей в списке контактов ссылку, которая ведёт на сайт с вредоносным файлом. В сообщении, сопровождающем ссылку, спрашивают, действительно ли это новое изображение пользовательского профиля.

Первой угрозу описала белорусская антивирусная компания «ВирусБлокАда» 4 октября 2012 г. в своем блоге. На следующий день существование угрозы подтвердили антивирусные разработчики «Лаборатория Касперского» и «Доктор Веб».

По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно.

Рекомендации от службы технической поддержки антивирусной компании «ВирусБлокАда»:

«Вы можете получить личное сообщение от одного из ваших контактов вида: «ey eto vasha novaya kartina profil'?ваш_ник». Убедительная просьба, не переходить по ссылке».

Пожалуйста, проверьте настройки скайпа, чтобы избежать дальнейшего распространения вирусов:

Настройки > Дополнительно > Расширенные настройки > Контроль доступа других програм к Skype – не должно быть никаких программ.

Общие рекомендации:

Перед тем, как перейти по сокращенной ссылке, проверьте её с помощью сервиса расшифровки линков, например longurl.org. При расшифровке обратите внимание на доменное имя сайта, который может перенаправить вас на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с заражённого компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, необходимо своевременно устанавливать обновления безопасности для ОС Windows.

Данный вирус уже известен большинству антивирусных вендоров, так что пользователям, которые всё-таки попались на его уловку, рекомендуется незамедлительно выполнить обновление вирусных баз. Также можно воспользоваться советами от специалистов компании «ВирусБлокАда» и их методом лечения, который был предложен в первые часы после обнаружения угрозы.

Один из вариантов лечения:

Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;
2. выбрать в меню Tools > Low Level Disk Access Tool;
3. в левой части окна утилиты «Level Disk Access Tool» выбрать путь к папке %APPDATA%.

Например, в ОС Windows XP путь к %APPDATA% имеет вид "Х:\Documents and Settings\Username\Application Data", в Windows Vista и 7 –  “X:\Users\Username\AppData\Roaming”, где X: -­ имя системного диска, Username – имя пользователя;

1. при этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;
2. щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду «Delete File» (см. рисунок);
3. в появившемся диалоге подтвердить удаление файла нажатием на кнопку «Yes»;
4. выйти из антируткита и перезагрузить компьютер.

Архивы с вредоносным файлом находились на файлообменном сервисе Hotfile. После обращения к владельцам ресурса все вредоносные файлы были удалены.

Тем не менее, переходы по выше указанным ссылкам не прекратились. Вот статистика переходов по вредоносным ссылкам. Злоумышленники использовали сервис создания коротких ссылок goo.gl.

По состоянию на 23-00 часа 6 октября:

По первой ссылке (http://goo.gl/#analytics/goo.gl/AzaqI/all_time), количество переходов на архив с вредоносным файлом составило более 200 тысяч. Из них распределение по странам следующее: Россия – 80270, Украина – 33028, Беларусь – 13652, Италия – 5901, Китай – 5569, Германия – 4603, Казахстан – 3607, Латвия – 3388 кликов.

По второй ссылке (http://goo.gl/#analytics/goo.gl/agsIb/all_time), количество переходов на архив с вредоносным файлом составило более 130 тысяч. Из них распределение по странам следующее: Россия – 27420, Украина – 25748, Беларусь – 11978, Чехия – 5134, США – 5133, Италия – 3727, Германия – 2705, Венгрия – 2419, Польша – 2295 кликов.