Koobface – und was Sie noch nicht wussten
Der Wurm Koobface gehört zur derzeit gefährlichsten Schadsoftware. Ryan Flores, Advanced Threats Researcher beim Sicherheitsunternehmen Trend Micro, hat das Koobface-Botnetz analysiert und Erstaunliches zu Tage gefördert. silicon.de stellt die Tricks der Koobface-Hacker zudem in einer Bildergalerie vor.
Koobface-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: Koobface installiert eine Web-Serverkomponente, die den infizierten Computer zu einem Teil des Koobface-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu Koobface-Malware führen.
Koobface-Zombies können neu gepackte Versionen der Malware verteilen: Koobface-Webserver können mit Hilfe von UPX, einem beliebten Pack-Programm für ausführbare Dateien und Programme, die von ihnen bereitgestellten Koobface-Binärdateien packen, das heißt komprimieren.
Die Hälfte der Koobface-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.
Koobface kann IP-Adressen sperren: Koobface hat eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird – wahrscheinlich um zu verhindern, dass die Schadsoftware von Virenforschern gesperrt oder ausspioniert wird.
Koobface kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus eingebaut, der das Versenden von Spam-URLs verhindert. Koobface versucht dies zu umgehen, indem der Wurm zuerst ausprobiert, ob Facebook einen Koobface-Spam-Link sperrt oder nicht.