Original Artikel von Ryan Flores (Advanced Threats Researcher, Trend Micro)
Sie haben sicher schon davon gehört oder darüber gelesen, dass sich KOOBFACE-Malware über Kontakt-Sites wie Facebook, MySpace und Twitter verbreitet. In Blogs und Malware-Beschreibungen stehen zahlreiche Analysen zur Verfügung. Aber ich möchte wetten, dass die meisten von Ihnen dennoch manche oder alle der folgenden Fakten zu KOOBFACE nicht kennen…
- KOOBFACE weiß Bescheid: KOOBFACE kann alle Daten aus Ihrem Facebook-, MySpace- oder Twitter-Profil entwenden. Profilseiten dieser sozialen Netzwerke geben Auskunft über Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer), Interessen (Hobbys u. ä.), Verbindungen (Unternehmen, Universitäten) und den Job (Arbeitgeber, Stelle, Gehalt). Also passen Sie auf – KOOBFACE weiß eine Menge!
- KOOBFACE kennt Sie nicht nur über Ihre Profildaten, sondern weiß auch, wie Sie aussehen!: Das Bot-Netz stiehlt nicht nur Profildaten, sondern holt sich auch Ihr Profilbild, damit der Name ein Gesicht bekommt.
- URLs zu KOOBFACE-Malware sind entweder auf infizierten oder kostenfreien Hosting-Websites: Ganz recht, man kann auch billig sagen. Aber die Leute, die hinter KOOBFACE stecken, machen regen Gebrauch von infizierten und kostenfreien Hosting-Websites, über die Spam-Mails mit KOOBFACE-Links und Schlagwörtern wie Lustiges Video an Kontaktnetzwerke versendet werden. Der Link führt zu einer gefälschten YouTube- oder Facebook-Site, die wiederum mit der KOOBFACE-Malware verknüpft ist.
- KOOBFACE-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: KOOBFACE installiert eine Web-Serverkomponente, die den infizierten Computer gewissermaßen zu einem Teil des Malware-verbreitenden KOOBFACE-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu KOOBFACE-Malware führen.
- KOOBFACE-Zombies können neu gepackte Versionen der Malware verteilen: KOOBFACE-Webserver können mit Hilfe von UPX, einem beliebten, ausführbaren Pack-Programm, die von ihnen bereitgestellten KOOBFACE-Binärdateien packen (komprimieren).
- Die Hälfte aller KOOBFACE-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.
- KOOBFACE kann IP-Adressen sperren: KOOBFACE hat, wahrscheinlich um zu verhindern, dass es von neugierigen Virenforschern gesperrt oder ausspioniert wird, eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird.
- KOOBFACE kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus implementiert, der das Versenden von Spam-URLs verhindert. KOOBFACE versucht dies zu umgehen, indem es zuerst ausprobiert, ob Facebook einen KOOBFACE-Spam-Link sperrt oder nicht.
Es gibt also einige Dinge, die Sie vielleicht noch nicht über KOOBFACE wissen. Lust auf mehr? Dann lesen Sie unseren Forschungsbericht In den Tiefen von KOOBFACE: C&C und die Verbreitung über Kontaktnetzwerke druckfrisch aus dem Whitepaper-Bereich von TrendWatch.
Pingback: Achtung Halloween – Der Spuk der Cyberkriminellen beginnt » markus-arlt.de