Koobface-Nachfolger zielt auf Skype

Koobface ist eine Malware-Familie, die vor allem Webdienste für die Verbreitung nutzt. Dazu gehören beispielsweise MySpace, Facebook oder der Google Reader. Sophos hat nun anscheinend einen Nachfolger entdeckt, der zwar auf die Koobface-Technologie setzt, allerdings neue Methoden zur Verbreitung einsetzt.

Die neu gefundene Malware W32/Koobfa-O beschränkt sich aber nicht nur auf Web 2.0 Dienste, sondern nutzt auch den populären Messenger Skype. Die Malware kann die Skype API anzapfen, um mehr Informationen über den Nutzer der infizierten Maschine herauszufinden. Zu den ausgelesenen Informationen gehören private Daten wie der volle Name, die Homepage, private und geschäftliche Telefonnummer, Stadt oder der Geburtstag. Koobfa-O sammelt die Daten in einem RAR-Archiv. Dieses Paket wird anschließend per E-Mail übertragen oder auf einem Server abgelegt.

Zusätzlich meldet sich der Wurm mit den Skype-Nutzerdaten des infizierten Users an und beginnt Konversationen mit Kontakten, die gerade Online sind. Dazu nutzt die Malware Sätze und Bruchteile von Sätzen, die in 18 Sprachen im Code hinterlegt sind. Koobfa-O kann die Antworten nicht analysieren, so dass die Gespräche relativ schnell seltsam erscheinen und aus dem Rahmen fallen. Während der Konversation fügt der Wurm immer wieder Links zu Homepages ein, folgt der Gesprächspartner so einem Link, infiziert er sich auch.

Neben Facebook, MySpace und Skype zielt der Wurm auch auf die Zugangsdaten von anderen Webseiten. Dazu gehören etwa Blogger, YouTube, Yahoo, Wikipedia und Google. Laut Sophos sammelt die Malware derzeit nur die Informationen, was die Entwickler damit anstellen, ist noch nicht bekannt. Allerdings ermöglichen diese Daten durchaus ein umfangreiches Profil der Nutzer. So lassen sich nicht nur gezielte Spam-Nachrichten verschicken, beispielsweise zum Geburtstag, die Daten lassen sich auch für Phishing-Attacken nutzen. (mja)