De ‘Yimfoca’ worm maakt gebruik van social engineering om bij gebruikers van Skype en Yahoo! Messenger de illusie te wekken dat het om een link of foto van een bekende gaat. Anti-virusbedrijven waarschuwen voor de zeer agressieve worm ook wel bekend als Palevo.
Potentiële slachtoffers ontvangen een link van een persoon in hun contactenlijst, waarin vermeldt staat dat het om een foto gaat. Als er op de link wordt geklikt opent er een pop-up scherm met de vraag of je het plaatje op wil slaan. De naam van het bestand wekt de illusie dat het om een plaatje gaat. De worm beroept zich geheel op social engineering en maakt geen gebruik van exploits.
In werkelijkheid heeft het bestand een .exe bestands-extensie en de oplettende gebruikers zal opmerken dat het om een uitvoerbaar bestand gaat. Zodra het programma geopend wordt installeert de worm zich in de Windows directory. Daarna voegt de worm zich toe aan de Windows Firewall-lijst en schakelt het de Windows Update Service uit. Door aanpassingen in het register te maken zorgt de malware ervoor dat het elke keer als de computer herstart geladen wordt.
Vervolgens zoekt het programma in het systeem naar Yahoo! Messenger software en verstuurd links naar iedereen in de contactenlijst van het gebruikers waarvan het systeem geïnfecteerd is. Verder is het programma in staat om andere malware te downloaden en uit te voeren. Om de infectie te maskeren opent de worm na uitvoering een pagina met foto’s op myspace.com en maakt verbinding met een IRC-server, blokkeert meer dan 700 websites, schakelt virusscanners uit en is in staat om USB-sticks te infecteren.
Symantec detecteert en bestempelt de bedreiging als W32.Yimfoca en adviseert gebruikers van Yahoo! Messenger om voorzichtig te zijn met het openen van bestanden ook als deze van bekende en vertrouwde contactpersonen lijken te komen en geeft aan dat reageren op de persoon in kwestie vaak al snel zorgt voor duidelijkheid over of het bestand werkelijk van die persoon afkomstig is.
De eerste variant richtte zich alleen op gebruikers van Yahoo! Messenger, maar al snel verscheen er een nieuwe versie van het kwaadaardige programma waardoor ook Skype-gebruikers doelwit zijn.
16 uur geleden
