Koobface, o anagrama a FaceBook este un vierme ce are ca tinta userii retelelor sociale Facebook, MySpace, hi5, Bebo, Friendster si Twitter.
Koobface incerca, in cazul unei infectii cu succes, sa culeaga date sensibile de la victime, cum ar fi PIN-uri, parole, etc. A fost detectat prima oara in decembrie 2008 si o versiune mult mai periculoasa a aparut in martie 2009.
Koobface se raspandeste prin trimiterea de mesaje Facebook, celor care sunt adaugati ca “prieteni” sau celor care au deja infectat PC-ul. Mesajele contin subiecte de actualitate si cu priza mare la public gen: “Paris Hilton Tosses Dwarf On The Street”, “LOL”, “My friend catched [sic] you on hidden cam”, si “My home video” urmate de un link. La accesare link-ului, utilizatorul este redirectionat catre un server unde i se solicita sa instaleze un update fals pentru Adobe Flash Player. La executarea fisierului, PC-ul este infectat cu Koobface.
Dupa asta, viermele compromite cautarile utilizatorilor pe Google, Yahoo!, Bing si Ask.com si ii redirectioneaza catre site-uri contaminate sau false. Singurul motor de cautare neafectat de Koobface se pare ca este momentan AOL Search.
Printre componentele descarcate de viermele Koobface se numara si un filtru DNS care blocheaza accesul la site-urile cunoscute de securitate si de asemenea se instaleaza si un proxy tool ce permite atacatorilor sa preia controlul PC-urlui victimei.
Mai multe variante au fost descoprite de-a lungul timpului:
* Net-Worm.Win32.Koobface.a ataca MySpace
* Net-Worm.Win32.Koobface.b ataca Facebook.
* WORM_KOOBFACE.DC, ataca Twitter.
* W32/Koobfa-Gen ataca Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo si fubar.
Doar sistemul de operare Windows este afectat de acest timp de vierme, neexistand momentan versiuni pentru MAC si Linux.
Recent, o noua versiune a fost descoprita “in the wild” si a fost analizata de cercetatorii de la University of Alabama at Birmingham(UAB).
La ora actuala se estimeaza ca PC-urile infectate cu acest malware sunt unite pentru a crea o retea botnet, cea mai mare la ora actuala, fiind compromise peste 2.9 milioane de PC-uri doar in SUA.
Noua varianta nu difera cu mult de cele anterioare. Doar sunt folosite noi site-uri(unele nedetectate) iar instalarea poate sa vina o data cu un software tip rogue/scareware.
Cam asa arata detectia pe VirusTotal:
