Salı günü Websense, görünüşe göre bir solucanın Skpye’ı hedef aldığını bildirdi. Solucan ilk olarak Asya-pasifikteki bilgisayarları etkiledi, ve özellikle Kore’de halen araştırma konusu çünkü tüm güvenlik uzmanları kökeni ve tabiatı hakkında hemfikir değil.
Websense raporu, solucanın Skype’ın chat özelliği ile yayıldığını söylüyor. Belirli bir biçimde, kullanıcılar kendilerinin “sp.exe” isimli bir dosyayı indirmelerini isteyen bir mesaj alıyorlar. Yürütülebilir dosya, şifreleri çalabilen bir Truva atı. Bir kullanıcı Truva atını çalıştırdığında kendisini yaymak için başka bir kod takımını başlatıyor.
Websense blogunda konunu halen araştırma altında olduğu ancak solucanın birkaç özelliğinin bildirildiği belirtiliyor:
“*dosya paketlenmiş durumda ve hata ayıklama karşıt yordamı var (NTKrnl Secure Suite packer)
*dosya, ilave bir kod için uzak sunucuya bağlanıyor
*orijinal siteye kara delik açılıyor ve artık kodu vermiyor
*kurbanların sayısı halen belirlenememiş durumda
*orijinal bulaşmanı APAC bölgesinde olduğu görülüyor (özellikle Kore)”
websense’e göre yürütülebilir dosya NTKrnl Secure Suite Packer ile şifrelenmiş gibi görünüyor, farklı algılama motorlarına dosyayı tek bir şekilde gösteren çok biçimli bir şifreleme programı. Websense, kodu barındıran orijinal site onu sunmaya devam etmiyor diye belirtti. Bu solucan üzerindeki çalışma halen ilerleme aşamasında ve güvenlik dünyası bunun nasıl belirleneceği konusunda bölünmüş durumda.
Örneğin, F-Secure araştırma şefi Mikko Hypponen’e göre, solucan Skype’ı hedef almıyor. Bu cümle F-Secure tarafından solucanın örneği üzerine yapılan bir çalışmanın temelinde yayınlandı.
Hypponen, “Açık olan şey, şu anda Skype’da yüklü bir solucan patlaması yok. Durumu takip ediyoruz.” dedi.
Diğer taraftan, SANS internet Storm Center, “Skype ile yayılan yeni bir solucan”dan haberdar olduklarını ve daha fazla bilgi aradıklarını belirti.
Solucan hakkında daha fazla detay, testler ve çalışmalar yerine getirilir getirilmez yayınlanacak