Koobface – der soziale Netzwerk-Wurm

Koobface ist ein Computerwurm, der seine Opfer in sozialen Netzwerken wie Facebook (der Name ist ein Anagramm von Facebook), MySpace, hi5, Bebo, Friendster und Twitter findet. Koobface wurde entwickelt, um Microsoft Windows und Mac OS X Systeme zu infizieren. Er kommt aber auch unter Linux vor.

Nach erfolgreicher Infektion versucht Koobface Login-Informationen für FTP-Seiten, Facebook und anderen sozialen Medien-Plattformen zu sammeln, nicht jedoch sensible finanzielle Daten. Er nutzt dann die kompromittierten Rechner, um ein peer-to-peer Botnetz aufzubauen. Ein infizierter Rechner kontaktiert andere infizierte Rechner, um Befehle in einer peer-to-peer Art zu erhalten.

Das Botnetz wird dazu genutzt, um sowohl zusätzlich Bezahl-per-Installation Malware auf den kompromittierten Computern zu installieren als auch Suchanfragen umzuleiten, um Werbung anzuzeigen. Koobface wurde zuerst im Dezember 2008 entdeckt, eine mächtigere Version kam dann im März 2009. Eine Studie von Information Warfare Monitor, ein Zusammenschluss von “SecDev Group” und “Citizen Lab” in der “Munk School of Global Affairs” an der Universität Toronto hat herausgefunden, dass die Botnetz Betreiber einen Umsatz von 2 Millionen Dollar von Juni 2009 bis Juni 2010 gemacht haben.

Koobface verbreitet sich, indem Facebook Nachrichten an Leute zugestellt werden, die Freunde von einem Facebook-Anwender sind, dessen Rechner schon infiziert ist. Nach dem Eingang leitet die Nachricht den Empfänger zu einer Webseite eines Dritten, wo er aufgefordert wird ein vermeintliches Update des Adobe Flashplayers herunterzuladen. Wenn er dieses herunterlädt und ausführt, ist Koobface in der Lage das System zu infizieren. Er kann dann die Suchmaschine des Computers nutzen, um diese zu kontaminierte Webseiten zu leiten. Es können auch Links zu Webseiten Dritter auf der Facebook Pinnwand eines Freundes auftauchen; die Nachricht kam manchmal von Kommentaren wie “LOL” oder “Youtube”. Wenn der Link geöffnet wird, infiziert der Trojaner den Rechner und der PC wird zum Zombie oder zu einem Host.

Unter den Komponenten, die von Koobface heruntergeladen werden, befindet sich auch ein DNS Filterprogramm, das den Zugang zu sehr bekannten Webseiten von Sicherheitsdienstleistern sperrt. Des Weiteren gibt es ein Proxy-Programm, das den Angreifer befähigt, den infizierten PC zu missbrauchen.

Einige Varianten des Wurms wurden identifiziert als:

Was unternehme ich gegen Koobface?

Da Antivirensoftware nur außerhalb von Facebook hilft, ist innerhalb von Facebook am meisten eine besondere Aufmerksamkeit und Skepsis gefragt z.B. wenn ein Freund, der sonst immer auf Deutsch postet plötzlich auf Englisch Fotos oder Internet-Links empfiehlt. Oder aber die Sätze von anderen wirken plötzlich unpersönlich, fast maschinell und fordern zum Anklicken bestimmter Seiten auf. Dann ist oft etwas nicht in Ordnung und eine Nachfrage per E-Mail, SMS oder Telefon bei dem Freund klärt schnell, ob sein Facebook-Konto gekapert wurde.

Falls Sie infiziert sind, können Sie mit dem Malicious Software Removal Tool Ihren PC prüfen. Sie können es hier herunterladen.

 

Benötigen Sie Hilfe bei der Bereinigung der Koobface-Infektion, so stehen wir Ihnen gerne in unserem Forum zur Verfügung.