Darunter befindet sich ein Link, der scheinbar zu Google führt. Tatsächlich wurde hierbei lediglich der Kurz-URL-Dienst goo.gl genutzt. Klickt der User auf den Link, landet er beim Filehosting-Anbieter Hotfile, einer legitimen Website zum Austauschen von Dateien. Wenn der Link angeklickt wird, wird ein Archiv mit einer ausführbaren Datei heruntergeladen. Erst beim Entpacken und Ausführen der in der ZIP-Datei enthaltenen, als Skype Setup File getarnten Datei (skype_05102012_image.exe), wird der Wurm aufs System geladen und verschickt sich weiter an die eigenen Kontakte. Auf diese Weise verbreitet er sich rasend schnell unter Millionen von PCs.

Der Wurm baut eine Verbindung zur Ortungsdatenbank WIPmania sowie zu verschiedenen IP-Adressen auf und sucht nach folgenden Prozessen: msnmsgr.exe, msmsgs.exe und skype.exe. Aus einem umfangreichen Repertoire an Texten in verschiedenen Sprachen und entsprechend des Betriebssystems, versendet er Nachrichten an die Kontakte des kompromittierten Benutzers. Beispielsweise "Moin, kaum zu glauben was für schöne Fotos von Dir auf Deinem Profil" oder "lol is this your new profile pic?" oder "hey c'est votre nouvelle photo de profil?". Auf die Textzeile folgt der schädliche Link, in welchem nach dem Gleichzeichen der eigene Nutzernamen des Skype- oder Messenger-Profils enthalten ist, was die Nachricht für den Empfänger authentischer macht.

Der Wurm, der von Panda als W32/SpySkype.G.worm identifiziert wurde, verbreitet sich über transportable Geräte, Instant Messaging Programme und Soziale Netzwerke. Die infizierten Rechner sollen den Malware-Programmierern als Zombies in einem Botnet dienen. Einige Varianten des Wurms blocken Webseiten mit Security-Updates, so dass auch Denial-of-Service Angriffe auf das Konto dieser Malware gehen können.

Quelle:  PAV Germany GmbH