Nei giorni scorsi, le aziende di sicurezza informatica, hanno rilevato un nuovo worm chiamato Pykspa.D che si diffonde utilizzando l’Istant Messaging di Skype, piattaforma leader nel settore della telefonia VoIP.
La notizia è comparsa su Skype HeartBeat, il blog utilizzato dai tecnici della piattaforma per rendere pubblici i vari servizi offerti. Il sito mette in allerta tutti gli utenti Windows che usano il suddetto software, invitandoli a non cliccare su link sconosciuti.
Di fatto il worm in questione usa tecniche di ingegneria sociale per trarre in inganno gli utenti: utilizzando vari messaggi, invita i malcapitati a scaricare un’immagine in formato .jpg dietro la quale però si nasconde il malware. Se disgraziatamente si effettua questo download, il worm sfrutterà le API pubbliche di Skype per infettare il PC.
Una volta compromesso, il PC inizierà ad inviare lo stesso messaggio contenente il link maligno, a tutti i contatti presenti nella rubrica. Ad oggi solo i prodotti di F-Secure, Kaspersky Lab e Symantec sono in grado di rilevare questo worm; le restanti aziende di sicurezza sono state messe in allerta da Skype affinché possano aggiornare i propri software al più presto.
Per gli utenti più esperti, e sottolineo esperti, è possibile rimuovere il worm anche manualmente apportando alcune modifiche al registro di Windows e ad alcune cartelle di sistema. Per prima cosa fate partire il PC in modalità provvisoria, eseguite il registro ed aprite la seguente chiave:
HKLM/software/microsoft/windows/currentversion/runonce
se presente, dovete eliminare la voce “mshtmldat32.exe”.
Aprite la cartella system32 di Windows ed eliminate i seguenti file: wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe, sdrivew32.exe. Infine recatevi su windows/system32/drivers/etc ed utilizzando un editor di testo modificate il file hosts eliminando le stringhe aggiunte dal worm per impedire l’aggiornamento dei software antivirus: la lista dettagliata delle voci da eliminare la trovate sul sito di Trend Micro. Ora potete ravviare il vostro computer e tutto sarà tornato alla normalità.
Vi auguro di non aver a che fare con questo malware, in caso contrario spero almeno di essere stato d’aiuto a tutti coloro che ne hanno bisogno 😉