Skype-orm angriper Windows-brukere

En ny orm spres gjennom lynmeldings-delen av Skype. Men den berører kun Windows-brukerne.

Skype opplyser i selskapets Heartbeat Blog at brukere av selskapets programvare med samme navn kan bli utsatt for en orm som kalles W32/Skipi.A, w32/Ramex.A, W32/Pykse.worm.b eller W32.Pykspa.D, alt ettersom hvilket antivirus-selskap du spør. Ormen infiserer Windows-maskiner og vil sende en lynmelding til andre Skype-brukere hvor disse lokkes til å klikke på en weblenke, som tilsynelatende leder til et bilde eller en skjermsparer, men som i stedet egentlig leder til en kopi av ormen. Infeksjonen krever altså brukermedvirkning.

I tillegg til dette, stopper ormen en rekke prosesser på maskinen, ikke minst prosesser som tilhører sikkerhetsprogramvare. Den endrer også hosts-filen slik at brukere som forsøker å besøke nettstedet til leverandører av antivirus-løsninger, ikke kommer fram. Flere detaljer om hva ormen gjør, finnes her.

Skype skriver videre at meldingene som brukerne mottar, kommer i ulike varianter og at de skal være kløktig utformet.

Per i går kveld skal brukere med oppdaterte antivirusløsninger fra selskaper som F-Secure, Kaspersky Lab og Symantec være sikret mot infeksjon. Ormen skal også kunne fjernes fra allerede infiserte maskiner ved hjelp av disse verktøyene.

Brukere som ikke har noen oppdatert antivirusløsning, for eksempel fordi de ikke få lastet ned oppdateringene etter at maskinen har blitt infisert, kan benytte den følgende oppskriften, som foreslås av Skype. Men metoden anbefales ikke for uerfarne brukere:

  1. Start maskin på nytt i sikker modus
  2. Kjøre regedit
  3. Gå til HKLM/software/microsoft/windows/currentversion/runonce og fjern oppføringen mshtmldat32.exe
  4. Gå til mappen Windows\System32 og fjern filene
    wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe og sdrivew32.exe
  5. Gå til mappen windows/system32/drivers/etc.
  6. Åpne filen hosts i for eksempel Notepad-programmet
  7. Fjern alt innholdet i filen
  8. Lagre og lukk
  9. Start maskinen på nytt

Metoden over vil sannsynligvis ikke fungere i Windows Vista, siden det ikke gis direkte skrivetilgang til hosts-filen i den utgaven av Windows. Her må man i stedet kopiere hosts-filen til en annen mappe, redigere den, kopiere den tilbake og så døpe om originalfilen og kopien slik at den redigerte kopien til slutt blir hetende hosts.

Ifølge Symantec er spredningen av ormen temmelig begrenset i antall, men det skal være registrert infeksjoner på flere kontinenter.

– Fremmede makter angriper oss daglig

Hør professor Olav Lysne og direktør Bjørn Erik Thon i Datatilsynet diskutere personvern, rikets sikkerhet og det digitale grenseforsvaret i vår nye podkast «Dobbeltklikk».

Til toppen