It-säkerhetsföretaget Bitdefender rapporterar om datormasken ”backdoor.tofsee” i varnande ordalag. Den nyligen upptäckta Windows-masken är nämligen specialiserad på de två chattklienterna Skype och Yahoo Messenger och försöker endast infektera datorer med dessa installerade.

Masken kontrollerar även om någon typ av antivirusprogram ser ut att vara installerad på offrets dator. Om detta är fallet så avslutar masken sig själv och avbryter därmed också infektionsförsöket.

I vissa fall kan den även skapa en pausad programprocess i arbetsminnet, kallad child process, för att därefter avsluta den ursprungliga processen (parent process). Tanken med detta är att försöka lura eventuella sökmekanismer som antivirusprogram använder sig av och på så sätt kunna existera utan att bli upptäckt. Huruvida detta är framgångsrikt eller inte är oklart, men indikerar ändå att utvecklarna tänkt till lite extra.

Som ett tredje alternativ för infektion försöker masken också skapa ett så kallat rootkit, som syftar till att dölja dess skadliga filer och därefter blockera åtkomst till antivirusrelaterade internetadresser och tjänsten Windows Update. Lyckas detta stängs även Windows inbyggda brandvägg av.

Fast kanske mest utstuderat enligt Bitdefender är dess taktik för spridning via Skype och Yahoo Messenger när en dator väl infekterats. Istället för att endast läsa av klienternas kontaktlistor och skicka ett automatiskt meddelande med skadlig länk bifogad, väntar masken tills en konversation startats. Först då inkluderar masken ett meddelande med den länk som ska leda till fler infektioner. Meddelandet skickas då endast till användare som är med i den aktuella konversationen. Utöver infektion via webblänkar har masken även funktioner för att sprida sig via usb-minnen.

I likhet med övrig skadlig kod som trojaner, virus och liknande, syftar även backdoor.tofsee till att låta de cyberkriminella utnyttja de infekterade datorerna för egna syften, säger Bitdefender.