Wurm Koobface mutiert, um sein Überleben zu sichern

Schädling bleibt auch aktiv, wenn der Zugriff durch eine Domain-Sperrung blockiert ist

(28.07.09) - Der sich unter anderem über die Social-Networking-Angebote von Facebook und MySpace verbreitende Wurm Koobface mutiert, um sein Überleben zu sichern: Mittels einer neuen Komponente bleibt er auch dann aktiv, wenn der Zugriff auf den Koobface-Kontrollserver durch eine Domain-Sperrung blockiert ist. Kommt keine Verbindung zustande, kontaktiert der Wurm vorab gekaperte Zombie-PCs, die zuvor durch den Koobface-Kontroll-Server mit Befehlen gefüttert wurden und sie nun an von Koobface infizierte PCs verteilen.

Wegen der zunehmenden Gegenmaßnahmen, die die Weiterverbreitung des Wurms unterbinden sollen, wurde das Koobface-Botnetz wie beschrieben mit einer zweiten Kontrollebene versehen, welche das Weiterbestehen sichert.

Koobface verbreitet sich über Anwender-Konten und deren Freundeslisten. Dazu versendet er Kommentare und Nachrichten, die einen Link zu gefälschten Social-Network-Seiten enthalten und Anwender beispielsweise zum Download einer aktuellen Flash-Player-Version auffordern. Doch statt der gewünschten Software wird dabei Koobface auf den Rechner übertragen. Der Schädling startet von den befallenen Rechnern aus wieder neue Angriffe mit dem Ziel, vertrauliche Daten zu stehlen. (Trend Micro: ma)