Der Koobface-Wurm geht vor allem auf Facebook und Twitter um, verbreitet sich dort etwa über vorgebliche Video-Links. Die Malware-Programmierer hinter Koobface haben den Schädling mit der Zeit immer wieder verändert, neue Funktionen und Komponenten hinzu gefügt sowie die Kommando-Strukturen ausgebaut. Jetzt scheinen sie es ein wenig übertrieben zu haben.
Craig Schmugar berichtet im McAfee Avert Blog, seit einigen Wochen gehöre auch DNS-Hijacking zum Repertoire von Koobface. Das bedeutet, Koobface installiert eine Malware-Komponente, die als Web-Proxy fungiert. Alle Web-Zugriffe des Internet Explorer werden zwangsweise über diesen Proxy geleitet und bis auf wenige Ausnahmen blockiert. Die Ausnahmen bestehen in einer Scareware-Seite und einigen Porno-Sites.
Einige Minuten nach der Infektion eines Rechners mit Koobface erscheinen die ersten Pop-ups einer betrügerischen Schutz-Software mit Warnmeldungen über vorgeblich gefundene Viren. Das Scareware-Opfer wird genötigt eine Vollversion des gefälschten Antivirusprogramms zu kaufen. Die Website, auf der man diese Betrüger-Software erwerben soll, wird nicht blockiert.
Koobface blockiert sich selbst
Doch der Proxy hindert eine andere Koobface-Komponente, die Werbe-Fenster anzeigen und Suchanfragen umleiten soll, am Zugriff auf das Internet. Der Zugriff auf andere, legitime Web-Seiten wird mit falschen Warnmeldungen über vorgebliche Gefahren verhindert, die dort lauern sollen. Außerdem unterbindet Koobface den Start so ziemlich jedes Programms auf dem Rechner.
Warum die Koobface-Macher eine derartige Breitseite abfeuern, ist unklar. Schmugar mutmaßt, die Koobface-Gang sei womöglich auf einen letzten großen Raubzug aus, wolle möglichst viele Opfer zum Kauf der Scareware verleiten, die zwischen 50 und 70 US-Dollar kosten soll. Wahrscheinlicher sei allerdings, dass man soviel Vertrauen in die eigene Fähigkeit habe neue Opfer zu finden, dass man darauf verzichte die bestehende Basis Koobface-infizierter Rechner wie bislang zur weiteren Verbreitung des Schädlings heran zu ziehen.
Die meisten neuen Opfer sind in gewissem Sinne Freiwillige, die mittels Social-Engineering-Tricks dazu verleitet werden den Koobface-Wurm selbst zu installieren. Sie tun dies, weil sie denken, sie würden einen Video-Player oder Codec installieren, um ein vermeintliches Video ansehen zu können. (PC Welt/mje)