Wurm liefert Debug-Informationen
Neue Koobface-Variante erleichtert Virenforschern die Arbeit
Diese spezielle Version von Koobface wurde von den McAfee-Angestellten in einem Honepot gefangen. Sie unterscheidet sich in zwei Dingen von anderer Koobface-Malware: Zum einen verwandelt sie den infizierten Rechner in einen vollwertigen Bot (statt ihn zum Brechen von Captchas zu nutzen), zum anderen speichert sie die komplette Vorgehensweise der Malware in ausführlichen Log-Dateien ab. Dadurch ist es den Virenforschen möglich, eine ausführliche Analyse des Schädlings vorzunehmen, können sie doch jeden einzelnen Schritt nachvollziehen.
Diese Debugging-Informationen liefern zudem interessante Einblicke in die Arbeitsweise von Koobface. So stellt der Wurm zunächst fest, welche Version des Internet Explorers installiert ist und prüft anschließend, ob Google.com erreichbar ist (und so, ob eine Internetverbindung besteht). Die Malware versucht zudem, persönliche Informationen des Computerbesitzers abzufragen. Vor allem hat es der Schädling auf Zugangsdaten zu Facebook abgesehen. Koobface versucht das Profil des Computerbesitzers zu knacken, hat die Malware Erfolg, verschickt Sie Links an die Kontakte, die zu infizierten Webseiten führen.
Koobface hat es als Malware vor allem auf die Zugangsdaten zu sozialen Web-Diensten wie Twitter oder Facebook abgesehen. Zu Weihnachten haben die Macher der Malware der Antiviren-Industrie sogar eine Weihnachtskarte geschickt. Darin bestreiten sie nicht nur, dass Koobface bösartige Absichten hat, sondern bedanken sich auch artig für die aufgezeigten Schwächen. 2009 hat sich der Wurm wechselweise als Videocodec, Google-Reader-Empfehlung oder Update für Adobe Flash Player getarnt. Wer hinter der Malware steckt, ist nicht bekannt.
- Koobface
Die Malware verdient Geld durch den Vertrieb von Scareware. (Quelle: Trend Micro) - Koobface
Ablauf eines Klickbetrugs (Quelle: Trend Micro) - Koobface
FAKEAV gehört zu einer der aktivsten Scareware-Familie. (Quelle: Trend Micro) - Koobface
Infizierte PCs verlangen nach einer wahrscheinlich nutzlosen Anti-Viren-Software. (Quelle: Trend Micro) - Koobface
Die Preise für Scareware liegen mittlerweile auf dem Niveau von echter Schutz-Software. (Quelle: Trend Micro) - Koobface
Kommunikation zwischen Koobface und dem dazu passenden C&C-Server. (Quelle: Trend Micro) - Koobface
Mit diesem vermeintlichen Weihnachtsvideo will Koobface neue Nutzer infizieren. (Quelle: Websense) - Koobface
Koobface hat lockt im Dezember mit vermeintlichen Weihnachtsvideos. (Quelle: Websense) - Koobface
Der Weihnachtsgruß der Koobface-Entwickler.... (Quelle: Sunbelt) - Koobface
... enthält auch einige persönliche Widmungen. (Quelle: Sunbelt) - Koobface
Kein Video: Koobface tarnt sich als Codec. (Quelle: Trend Micro) - Koobface
Der Wurm lockt auch gerne mit nackten Tatsachen. (Quelle: AVG) - Koobface
Die Infektionen, nach Ländern aufgeschlüsselt. (Quelle: Microsoft)