Havěť s názvem Win32/Dorkbot není žádná novinka, nicméně v posledních dnech ožila a minimálně v ČR se ji evidentně daří…

Šíření přitom probíhá skrze aplikaci Skype, kdy vám od známého dorazí zpráva ve stylu přiloženého obrázku. Pokud na odkaz „hej je to tvuj nový obrázek profilu?“ kliknete, ještě se nic vážného neděje. Problém nastává až ve chvíli, kdy rozbalíte stažený ZIP soubor a spustíte EXE soubor uvnitř archivu. Pak se celý proces opakuje. Havěť se usídlí v počítači a na kontakty ve vašem Skype začne posílat další zprávy typu „hej to je tvuj nový obrázek profilu?„. Úspěch šíření je zaručen, neboť to vypadá, že vám píše známý, česky a zpráva má i smysluplný obsah. Ve skutečnosti je to dílo havěti…

Tohle by měl být údajně obrázek z profilu Skype. ZIP archiv ve skutečnosti obsahuje zavirovaný EXE soubor.


70 komentářů » for Nová havěť se šíří přes Skype
  1. Michal Kolesa napsal:

    Nevíte, kdy na Skype vyjde bezpečnostní hotfix, co tuto bezpečnostní zranitelnost bude řešit ?

    Spolehnutí se jen na „lidský faktor“, že nikdo neklikne je podle mě „nehorší možné řešení“.

    • james008 napsal:

      Zdravim, co chcete proboha hotfixovat na skypu?

      Nemuzete zakazat nazev souboru, protoze kdyby nekdo podobne pojmenoval
      soubor v budoucnu a byl by korektni, tak by to obtezovalo uzivatele,
      stejne tak filtrovat text teto zpravy je podobny pripad.
      Udelat validaci na odesilani priloh, nebo utnout moznost odesilani
      soucasnym zpusobem by omezilo vyvojare tretich stran a urcite by se promitlo
      v komfortu uzivani skype. Takze jedine reseni je at kazdy neklika do kazde kravoviny co prijde, a kort kdyz jde o soubor exe. Vyzyvate k ochrane pred hlouposti,
      ale pred tou branit nelze a nikdy toho nebude mozno dosahnout.
      Jista nadeje je v detekci ochrannych prvku v pc, ale ty se skype nesouvisi,
      navic je to opet o lidksem faktoru, protoze i ochranny balik, jeho pritomnost v pc, jeho aktualnist…to vse zavisi na uzivateli. Neznaly uzivatel by mel mit sveho poradce, ajta, ci nejakou osobu ktera se mu o pc stara, a znalemu se nic pravdepodobne nestane.
      Znaly uzivatel by take mel vedet nejen co otevira, ale i od koho, a jak znala je osoba co mu neco posila. Ale ted to jeste obratim cele naruby. Je bezpecnostni nesmysl pres skype neco posilat, ten by mel spouzit jen jako telefon a pisalek, a soubory by si lide meli posilat skrze ulozny a email, jenze….. co si myslite ze udela vul ktery otevira prilohy ze skype, kdyz mu to da stejne chytry kamarad na uloznu? Aaaaano…. spusti to stejne. Takze hotfixovat by se mely priparne osvetou uzivatele, v aplikacich byva ten hlavni problem procentuelne vzato zridka 🙂 😀 Hezky den

      • sq napsal:

        a co tak zakazat commandline posielanie sprav? pokial to uzivatel nezada cez UI, spravu neposle… alebo proste zlepsit bezpecnost commandline sprav podpisom, aby to mohol robit len „autorizovany“ script?

        • james008 napsal:

          To jsem zminil v te pripomince o omezeni vyrobcu tretich stran 🙂
          Automaticky by to vyzadovalo nejaky mezikus, ten by se musel dovyrobit,
          a necim by se validoval. Jenze dark side by si tu validaci obcurala ci zaridila
          v celkem kratke dobe take. Take jsem videl u ruznych softu validaci na strane serveru,
          ale to je dne meho zhovadilost, a zvyseny prenos dat. Ono kdyby fungovalo 100%ne treba to validovani jakehokoliv pripojeneho modulu ke skype uzivatelem, coz nekdy funguje dobre 😀 …ale posililo by se drsne na uroven maleho firewallu, tak
          by to v tomto duchu mohlo jet vsechno. Jenze jsme u toho co jsem psal, a to ze vul
          by odsouhlasil i toto, resp. jakekoliv vyskakovaci okno, s heslem, „kdyz nevim o co jde, tak to odsouhlasim/spustim/dovolim“, coz je presne opacne jednani nez by mel clovek delat. 🙂 Sebedestrukce lidstva vlastnimi silami i prostredky nejde zastavit, je to smysl naseho byti 😀

          Pokud by to skype myslel vazne s ochranou a nikoliv ne s byznysem a mnozstvim uzivatelu na prvnim miste, dosel by k stadiu, kdyby z kodu vyhodil veskere moznosti cmd mimo gui jak pisete, ale natvrdo bez moznosti aktivace, a take by kompletne zrusil moznost cokoliv odesilat sharovat atd. On by byl skype i oblibenejsi u ajtaku, protoze takhle je to dost blbe vysledovatelny tunel/backdor…a sikovny trojan..podobne jako prenosy teamvieweru atd.
          Jenze malokho v IT byznysu ma koule na to aby na ukor vyssiho zisku a rozsirenosti prosazoval kvalitu a jednoduchost. Uz samotna koncepce skype ktery parazizuje na connectech jej spis radi do aplikaci typu „loupeznik“ 😀 a ty shary z nej delaji zlegalizovaneho loupeziveho trojskeho konika 😉

      • WuffyxSVK napsal:

        Ahoj, mám jeden problém s mojím skypom. Keď chcem niečo napísať moje kamarátovi tak mi to vždy napíše „Crypting message“. A keď napíšem jedno písmenko tak mi to nič nenapíše. Prosím o pomoc. 🙂

    • Zidane napsal:

      To je řešení ala pštros. Vždycky někdo klikne.

    • Honza napsal:

      Zdravím, nešel by tu prosím napsat nějaký jednoduchý návod jak se toho zbavit? díky

    • Filip Zuzák napsal:

      tento vir začal tímto posíláním a jak se rozšířil tak mě nedovolí se přihlásit se na program a nutí mě to používat team speak 3 a pořebuju nutnou odpověd jestli nevíte jak se jmenuje antivir— od pana učitele ze střední jsem se dozvěděl že je to španělskej antivir ale neví jask se jmenuje rozhodně díky za odpověd

    • Pavel napsal:

      Tohle se hotfixovat nedá je to stejné jako když dostanete mail s přílohou.. Soubor, který se tváří jako fotografie. Ale jak si proboha může někdo myslet že exe soubor je fotka???? Fotky mají koncovku jpg, jpeg, gif, bmp.. Omg lidi myslete a hlavně neotvírejte nevyžádanou poštu, pokud si nejste 100proc. jistí že vám nepíše známý..

  2. Jaromír Pátra napsal:

    Jakkoliv z výše uvedeného nevyplývá, který že to mi známý (z mého kontakt listu) posílá citovaný odkaz, nejjistější obranou je neotevírat neznámé odkazy a když to již někdo učiní, pak neznámý exe soubor nespouštět. Pokud to někdo činí, chová se nezodpovědně. Minimálně je potřeba v Nastavení Skype (Nástroje-Nastavení-Nastavení soukromí) zvolit v sekci „Přijímat chat zprávy od…“ alternativu „pouze osob z mého Seznamu kontaktů“.

    • igi napsal:

      Jméno známého je „uvedeno“ na obrázku pod levým červeným flekem. Tudíž to nastavení nepomůže.

      • Jaromír Pátra napsal:

        Ano, to je skutečnost, uvědomil jsem si ji hned po odeslání. Nicméně pak platí opatrnost, podobně jako v e-mailech, tzn. neklikat na neznámé odkazy, zvláště pak nespouštět neznámé exe soubory. Upozornění jsem poslal všem svým kontaktům z adresáře mého e-mailového klienta, u nichž vím, že používají, či mohou používat Skype (a zřejmě nesledují tento web).

    • Zidane napsal:

      Přesně. Já bych ten odkaz ani neotevřel, tak vím, co jsem si dal za profilovku, tak proč se mě „známý“ ptá? 🙂 A i kdybych to otevřel, exe soubor přece není obrázek, tolik toho o PC vím 🙂

    • Petr napsal:

      Problém je v tom, že ono to chodí od lidí, které v kontaktech máte. Takže možnost zakázání přijímání zpráv od neznámých kontaktů nepomůže.

      • Zidane napsal:

        No tak tím spíš stačí myslet mozkem. Proč by se mě někdo, koho mám v kontaktech a v otevřeném okně může vidět mou profilovku, ptal, jestli „je to tvůj nový profilový obrázek“? Koukne a vidí, ne? 🙂

    • Petr H. z Plzně napsal:

      Nastavení nepomůže, neboť oznámení jsem dostal od osoby z mého kontaktu. Použijte alternativy, kterou uvádím níže. Hodně štěstí.

  3. Jaromír Vít napsal:

    Zajímalo by mě, zda se ta nákaza může šířit i přes starší verze Skype. Používám verzi 3.8, protože mi vyhovuje velikost písma kontaktů, aplikačního menu i způsob oznamování došlých chatů na traylištu, pětkové verze se mi nelíbí svojí přeplácaností grafikou a provázaností s Facebookem atd. Jako virus vidím i to, jakým způsobem Microsoft agresivně nutí uživatele updatovat na jejich novější verzi, kdy nám to vnucují v aktualizacích Windows. Kvůli tomu jsem si musel zakázat automatické aktualizace, protože kdo ví, co všechno do Skype po jeho odkoupení zamontovali za špehovací funkce.

    • Petr napsal:

      Microsoft koupil Skype a přiznal, že do něj zaintegruje tzv. Intercept services….. A co víme, Microsoft vždy vyšel vládním podnštům vstříc.

    • Karel napsal:

      naprostý souhlas, ale vira jsem včera koupil i když mám stejně, jako Ty starou verzi Skype 🙁

  4. Zidane napsal:

    Jen člověk snížené inteligence, pokud mu přijde „obrázek“, kliká na něco s příponou EXE…

  5. Martin Štochl napsal:

    Tato havěť nás sužuje již od minulého čtvrtka. Podle zvěstí našich bfu není v některých prohlížečích vůbec potřeba nic potvrzovat a spouštět (otázkou je, nakolik lze věřit BFU, že „určitě na nic neklikal“). Stažený soubor je pouze downloader, ne samotný červ (proto ho eset nenašel, alespoň během víkendu). Kromě Dorkbota se stahuje mimo jiné i napr. Agent.NKZ a další kousky. Odesílat se umí i přes staré verze skype (přinejmenším 4.0 mohu potvrdit – dobré vodítko je volba „Přístup ostatních programů ke Skype“ v možnostech programu), řešením je deaktivovat zcela veřejné API (googlete, prý k tomu stačí změnit něco v registrech) a červ se následně nemá jak šířit dál.

    • Zidane napsal:

      věřit BFU, že „on na nic neklikal“? Ze zásady tomu nevěřím. Říct to dotyčnému člověk samozřejmě nemůže, ale známe BFU a víme své. 99 BFU ze sta když „na nic nekliklo“, tak ve skutečnosti kliklo.

  6. kacenak8787 napsal:

    co proste uzivatelum vysvetlit ze .exe soubor neni obrazek..

  7. Administrator napsal:

    co takhle nepoužívat skype (hi-hi-hi)

  8. jirka napsal:

    Zdravím,
    tak jsem prošel hlášení Norton 360 a objevil patřičné hlášení o souboru v profilu manželky. Norton detekoval pomocí SONAR.Heuristic . V jakém stádiu kód zastavil jsem se však nedozvěděl. Virus nedokázal konkrétně detekovat.
    Ve Skype opravdu byly od kamaráda, který je patrně napaden, patřičné odkazy. Co dělala manželka za akci budu vědět ráno.
    Tak opravdu pozor.

  9. vonava_ponozka napsal:

    Se jednoduše zeptám toho, kdo mi to posílá, co mi to posílá a oč jde, ne? Toď nejjednoduší obrana. nevím co tu za blbosti řešíte.

  10. Ota napsal:

    Mě to přišlo dnes odpoledne od synovce – já naštěstí exe file v příloze opravdu nespouštím, ale jemu to půl hodiny před tím přišlo od kamaráda a … no co byste čekali od třináctiletýho kluka co paří kdejakou onlajnovku. Snažil jsem se mu večer počítač odvirovat, ale neporadil jsem si zatím s dalším hlášeným trojanem BackDoor.Generic_r.AMQ, takže budu muset najít nějaké jiné řešení. Jen mě obecně fascinuje, že sice mají ve škole předmět o počítačích, ale takový základní věci jako bezpečnost chování na netu jim tam nikdo nevysvětluje ani náznakem, přitom oni s tím budou zacházet celý život. Proč by neměli spouště exáč maskovaný jako obrázek to netuší, stejně jako to, co to vůbec exe soubor je. Ale hlavně že si umí napsat úkol ve Wordu.

    • tom napsal:

      taky to mám, co ted s tim ? Mám jednak BackDoor.Generic_r.AMQ a taky Win32/Dorkbot B

      a teda vůbec netušim co s tím , Avg nic, různý antimalware nic, Windows Defender nic………. Please help !

      • Ota napsal:

        Vzhledem k tomu, že už má kluk v počítači napadených přes BackDoor.Generic_r.AMQ asi 50 systémových souborů, tak prostě smažu disk C a nainstaluju mu Wokna znovu. Potom ještě projedu radši znovu čistou instalaci antivirem, jestli nezačal strašit i v nějakých souborech na datovém disku D a to je tak asi nejrychlejší způsob. Promazávat postupně tři dny všchny nakažené soubory a nahrazovat je nenakaženými se mi fakt nechce, navíc s nejistým výsledkem.

    • standa.e napsal:

      Věřte, že se to na drtivé většině škol učí. Problém je, že děcka to „neudrží“, nebo prostě ignorují, „blablabla, další učitelský žvásty“.

      • Ota napsal:

        To je taky pravda – nicméně moje máma je učitelka na základce, takže mám představu o tom, kdo všechno může na ZŠ učit tyhle předměty jako vedlejší 🙁 Někdy to učí člověk který to umí, jindy člověk, který se to učí z knížky zároveň spolu s těmi dětmi. A to nechci pomlouvat učitele – oni tyhle vedlejší předměty prostě musí brát aby naplnili svojí týdenní kvótu hodin a poraď si jak umíš.

      • Jaromír Pátra napsal:

        Z vlastní zkušenosti mohu říci, že každý ze zodpovědných učitelů IT tuto problematiku žákům vštěpuje téměř na prvém místě. Učil jsem v aktivní službě na SŠ IT po dobu více než 20 let a i přes obecné tendence žáků směřující ke hraní her jsem vždy na počátku kurzu (dvouleté cykly) zařazoval problematiku komunikace na netu a bezpečnost s ní spojenou. Neumím si představit, že by kdokoliv z nás, kteří si prošli „počítači“ na vlastní kůži, počínaje prvými dováženými komputery, přes veškerý HW i SW, který byl postupně v čase k dispozici, si dovolil minimálně neupozornit žáky na bezpečnost na síti. To by byl zjevný ignorant, nehledě k nebezpečí v interní síti více než 150 PC.

  11. Honza napsal:

    Zdravím, nešel by tu prosím napsat nějaký jednoduchý návod jak se toho zbavit? dík

  12. mamlas napsal:

    To je všechno krásné ale napíše tu někdo co teda dělat když už na to člověk klikne a avast a podobně nejedou? a celý windows nechci a ani nemůžu přeinstalovávat

  13. Petr H. z Plzně napsal:

    Mám v PC skvělý antivirový program, který mi okamžitě po spuštění detekoval výše uvedenou havěť – červ. Nemám proto žádné obavy o napadení počítače. Doporučuji všem, kteří mají obavy z napadení počítače, nepoužívat antivitové programy, které jsou zdarma. Většinou tuto havěť nezachytí. Je nutno používat programy placené. Pořád lepší si připlatit, než pak ztratit data a posypat si hlavu popelem.

    • Zidane napsal:

      Nevěřím tomu, že by třeba Avast dělal placenou verzi AV lepší než „tu zdarma“, protože by to pro ně byla špatná reklama – lidi si to řeknou.

      A ono sebelepší AV nepomůže, pokud BFU klikne na exáč maskovaný jako obrázek, protože BFU děsně zajímá, co mu Božka z účtárny, která umí anglicky akorát „fak jů“ a to to ještě píše přesně takhle, posílá, že to je anglicky a když bude AV řvát, BFU ho vypne, aby nezdržoval…

  14. Petr H. z Plzně napsal:

    Všem, kteří mají současné problémy a potřebují odstranit různou havěť, doporučuji z portálu ww.eset.cz si stáhnout program „eset online scaner”, který opravdu pomůže. Najdete jej v dolní části na pravé straně po kliknutí na záložku „stáhnout“. Je však nutné dbát rad při průběhu instalace a mít trpělivost při skenování HDD uvedeným programem. Je nutné také být připojený na internet, neboť program si ještě potřebuje stáhnou své aktualizace. V závěru celé operace se vás ještě program zeptá, jak chcete naložit se zjištěným virem nebo havětí (červ) a pak zda program chcete odinstalovat. Opravdu to pomůže. Vřele doporučuji.

  15. Houfino napsal:

    Čau lidičky!!!Chcete zbavit virus od skype?tak poradím na vás

    http://www.blesk.cz/clanek/digital-pocitace-a-hry/183001/pres-skype-se-siri-nebezpecny-vir-poradime-vam-jak-na-nej.html

    tam návod 🙂

    • Matej Pavlík napsal:

      Citujem:
      Podle informací Blesk.cz si s virem poradí ESET NOD, ale další programy jako Avast!, AVG, nebo Norton proti němu nejsou zabezpečeny.

      V tom majú pravdu ale :
      tieto antivíry odstránia tento vír bez problémov:
      1.) Bitdefender (Odporúčam veľmi dobrý antivírus hlavne internet security)
      2.) Kaspersky (Odporúčam veľmi dobrý antivírus premňa je osobne oveľa lepší ako bitdefender)
      3.) BullGuard (Dobrý antivírus, podľa av-test webu je lepší v detekcii ako bitdefender ale v zmazaní je horší)
      … atd

      tieto antivíry neodstránia vírus:
      1.) McAfee
      2.) Panda
      atď.

      takže eset není veľmi dobrý podľa môjho názoru určite je viac vhodné priplatiť na bitdefender alebo kaspersky 🙂

  16. petra napsal:

    znamená to, že všechny soubory v počítači (fotky atp.) , zachycené ESET NODEM 32 a uložené v karanténě jsou nenávratně ztraceny, NEBO JE LZE „VYLÉČIT“?

  17. Dušan napsal:

    Všetko čo je tu napísané, tak je krásne.Pri napadnutí počítača dorkbotom Vám pomôže antivírusový program Eset, ktorý napadnuté súbory vylieči.Nepomôže Vám však vtedy, ak sa Vám vírus dostane do operačnej pamäte. Potom ho odtiaľ musíte dostať manuálne.Všetky tie tzv. zaručené programy na odstránenie tohto vírusu sú ako všetky free programy k ničomu. Vírus Vám detekujú, ale keď stlačíte tlačítko odstríniť, automaticky ste presmerovaní na stránky výrobcu, kde od Vás chcú peniaze. Potom nastáva aj ďaľší problém, ako nainštalovaný free program dostať von z počítača. Odvírenie operačnej pamäte je možné, ale to vyžaduje o počítačoch vedieť trošku viacej než sú len používateľské skúsenosti.

    • marianna napsal:

      a hret title abbr title acromin title b blockure cite ci te code del detetide em i p cite strike strong

  18. Ondřej Foltýn napsal:

    Nevíte co ho může odhalit? při stahování toho *.zip?

  19. Vojta napsal:

    Tuto havěť jsem také v PC dříve měl.Pomohla reinstalace celého OS.A teď už přestali chodit tyto zprávy od kontaktů,takže viru se teď již zas tolik nedaří.

  20. Taky je to na ICQ napsal:

    Ruští uživatelé ICQ mi posílají stejný vir.
    с кем это ты на фото? и когда эта фотка попала в интернет? пиздец.. fotolands.ru/foto95 как будешь тут напиши мне я скину еще кое что
    toto píšou.

  21. Sqeart napsal:

    Zdravím… S tímto virem už jsem bohužel seznámena a z vlastní zkušenosti vím co způsobuje.. Moje otázka zní: Krást hesla začne ihned co se vir dostane do PC a nebo až po delší době?… Díky za odpověď

  22. Lukas napsal:

    lool mne uz to zaspamovalo cely chat 😀

  23. Jiřka napsal:

    Zdravím, tak jsem si včera také tuto parádičku stáhla ze Skypu. Kamarádka mi poslala odkaz, abych se podívala na její nové fotky, tak jsem neváhla a klikala a klikala jako ta trubka.Avast byl v klidu, nic nedělal.Až když se odkaz začal šířit všem kontaktům na Skypu, tak mi to došlo. Video na YouTube je skoro k ničemu, všechny možný čistící programy taky, pomohlo mi až když jsem PC vypla a při zapnutí mi Avast ukázal, kde se spouštěcí soubor ukrývá. U mě to bylo ve složce Adddata->Temp a pak jméno souboru, které se skládalo ze spoustu čísel a přípony .exe. Tak jsem ho natvrdo smazala a je klid, aspoň doufám 🙂 Snad vám to k něčemu bude 🙂

  24. Minecraft_man napsal:

    Já vůl na to klikl 🙂

  25. Barbora napsal:

    Taky jsem na to skočila :P… ale aspoň jsem při tom objevila pár jiných „mini virů“

  26. nikdo napsal:

    hoja jsou to opravdu vase fotografie? http://goo.gl/uABjj?faceimg=cenzura toto mi 2 lidi ze ksoly poslaly na skype
    co je to? neklikal jsem na to prosim o odpoved

  27. phespa napsal:

    Mě se podařilo tímhle zaneřádit komp, a jaká zvláštní kombinace že tohle + Česká Republik Police 😀 Nakonec jsem to vyřešil až reinstallem OS, protože to stejně potřeboval 😀

  28. patrik M. napsal:

    já ten vir mám a piše to kamošum a zakládá skypyny a tam to napiše toto: nazdar, 🙂 jste vid?li tuto fotku? http://goo.gl/abEo0T?47755/DSC_656/

  29. xxx napsal:

    to je vidět kolik BFu má pc 🙁 když tomu prd rozumíte tak zablate pc a odnesteho kde jste ho koupily , z větou že jste moc velci potomci ! na to vlastnit pc :))))))))

  30. blabla napsal:

    Nikdy nepouzivat facebook, twitter, google, microsoft, skype, antiviry jako avast, nod eset, avg, aviru a dalsi sajrajt pro blbe.Skodna, ktera je pro vas.To, co tu predvadite je ukazka hlouposti a manipulace s vami.Blbec se nepouci a taky se vzdy spali.

    • ooo napsal:

      To je svatá pravda.Facebook, twitter, google, skype a další šmejdi jsou škodná a vždy v sobě ukrývají špiony a sajrajt.Nikdy nezapínat cookie pokud je nepotřebujete.A po skončení je ihned zlikvidovat.To platí o všech datech.O zminovaných virech ani nemluvě.Ty mají nainstalované jen blbci.

  31. Magda napsal:

    Na skype mi chodí hodně žádostí (píší mi samí muži z ciziny) na kontakt a nevím co s tím. Žádosti ihned blokuji. několikrát jsem nahlásila zneužití a nic nepomáhá.Dá se s tím něco dělat?

1 Pings/Trackbacks pro "Nová havěť se šíří přes Skype"

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*