Original Artikel von Ryan Flores (Advanced Threats Researcher, Trend Micro)

Sie haben sicher schon davon gehört oder darüber gelesen, dass sich KOOBFACE-Malware über Kontakt-Sites wie Facebook, MySpace und Twitter verbreitet. In Blogs und Malware-Beschreibungen stehen zahlreiche Analysen zur Verfügung. Aber ich möchte wetten, dass die meisten von Ihnen dennoch manche oder alle der folgenden Fakten zu KOOBFACE nicht kennen…

1. KOOBFACE weiß Bescheid: KOOBFACE kann alle Daten aus Ihrem Facebook-, MySpace- oder Twitter-Profil entwenden. Profilseiten dieser sozialen Netzwerke geben Auskunft über Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer), Interessen (Hobbys u. ä.), Verbindungen (Unternehmen, Universitäten) und den Job (Arbeitgeber, Stelle, Gehalt). Also passen Sie auf – KOOBFACE weiß eine Menge!
2. KOOBFACE kennt Sie nicht nur über Ihre Profildaten, sondern weiß auch, wie Sie aussehen!: Das Bot-Netz stiehlt nicht nur Profildaten, sondern holt sich auch Ihr Profilbild, damit der Name ein Gesicht bekommt.
3. URLs zu KOOBFACE-Malware sind entweder auf infizierten oder kostenfreien Hosting-Websites: Ganz recht, man kann auch billig sagen. Aber die Leute, die hinter KOOBFACE stecken, machen regen Gebrauch von infizierten und kostenfreien Hosting-Websites, über die Spam-Mails mit KOOBFACE-Links und Schlagwörtern wie Lustiges Video an Kontaktnetzwerke versendet werden. Der Link führt zu einer gefälschten YouTube- oder Facebook-Site, die wiederum mit der KOOBFACE-Malware verknüpft ist.
4. KOOBFACE-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: KOOBFACE installiert eine Web-Serverkomponente, die den infizierten Computer gewissermaßen zu einem Teil des Malware-verbreitenden KOOBFACE-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu KOOBFACE-Malware führen.
5. KOOBFACE-Zombies können neu gepackte Versionen der Malware verteilen: KOOBFACE-Webserver können mit Hilfe von UPX, einem beliebten, ausführbaren Pack-Programm, die von ihnen bereitgestellten KOOBFACE-Binärdateien packen (komprimieren).
6. Die Hälfte aller KOOBFACE-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.
7. KOOBFACE kann IP-Adressen sperren: KOOBFACE hat, wahrscheinlich um zu verhindern, dass es von neugierigen Virenforschern gesperrt oder ausspioniert wird, eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird.
8. KOOBFACE kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus implementiert, der das Versenden von Spam-URLs verhindert. KOOBFACE versucht dies zu umgehen, indem es zuerst ausprobiert, ob Facebook einen KOOBFACE-Spam-Link sperrt oder nicht.

Es gibt also einige Dinge, die Sie vielleicht noch nicht über KOOBFACE wissen. Lust auf mehr? Dann lesen Sie unseren Forschungsbericht In den Tiefen von KOOBFACE: C&C und die Verbreitung über Kontaktnetzwerke druckfrisch aus dem Whitepaper-Bereich von TrendWatch.