Wissenswertes über das Botnet "Koobface"

"Koobface" verbreitet sich über Social-Networking-Sites wie Facebook, MySpace und Twitter

(19.10.09) - Dass der Wurm "Koobface" sich über Social-Networking-Sites wie Facebook, MySpace und Twitter verbreitet, ist mittlerweile bekannt. Aber wie heißt es so schön: Der Teufel steckt im Detail. Deshalb hat der Sicherheitsanbieter Trend Micro das Bot-Netz analysiert und dabei Erstaunliches zu Tage gefördert:

Koobface weiß Bescheid: Koobface kann alle Daten aus Ihrem Facebook-, MySpace- oder Twitter-Profil entwenden. Profilseiten dieser sozialen Netzwerke geben Auskunft über Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer), Interessen (Hobbys u.ä.), Verbindungen (Unter-nehmen, Universitäten) und den Job (Arbeitgeber, Stelle, Gehalt).

Koobface kennt Sie nicht nur über Ihre Profildaten, sondern weiß auch, wie Sie aussehen: Das Bot-Netz stiehlt nicht nur Profildaten, sondern holt sich auch Ihr Profilbild, damit der Name ein Gesicht bekommt.

URLs zu Koobface-Malware befinden sich entweder auf infizierten oder kostenfreien Hosting-Websites: Ganz recht, man kann auch billig sagen. Aber die Leute, die hinter Koobface stecken, machen regen Gebrauch von infizierten und kostenfreien Hosting-Websites, über die Spam-Mails mit Koobface-Links und Schlagwörtern wie "Funny Video" (zu Deutsch etwa "Lustiges Video") an Kontaktnetzwerke versendet werden. Der Link führt zu einer gefälschten YouTube- oder Facebook-Site, die wiederum mit der Koobface-Malware verknüpft ist.

Koobface-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: Koobface installiert eine Web-Serverkomponente, die den infizierten Computer zu einem Teil des Malware-verbreitenden Koobface-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu Koobface-Malware führen.

Koobface-Zombies können neu gepackte Versionen der Malware verteilen: Koobface-Webserver können mit Hilfe von UPX, einem beliebten Pack-Programm für ausführbare Dateien und Programme, die von ihnen bereitgestellten Koobface-Binärdateien packen, d.h. komprimieren.

Die Hälfte aller Koobface-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.

Koobface kann IP-Adressen sperren: Koobface hat, wahrscheinlich um zu verhindern, dass es von neugierigen Virenforschern gesperrt oder ausspioniert wird, eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird.

Koobface kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus implementiert, der das Versenden von Spam-URLs verhindert. Koobface versucht dies zu umgehen, indem es zuerst ausprobiert, ob Facebook einen Koobface-Spam-Link sperrt oder nicht. (Trend Micro: ra)