Malware Koobface mit DNS-Hijacking

Der Koobface-Wurm geht vor allem auf Facebook und Twitter um, verbreitet sich dort etwa über vorgebliche Video-Links. Die Malware-Programmierer hinter Koobface haben den Schädling mit der Zeit immer wieder verändert, neue Funktionen und Komponenten hinzu gefügt sowie die Kommando-Strukturen ausgebaut. Jetzt scheinen sie es ein wenig übertrieben zu haben.

Craig Schmugar berichtet im McAfee Avert Blog, seit einigen Wochen gehöre auch DNS-Hijacking zum Repertoire von Koobface. Das bedeutet, Koobface installiert eine Malware-Komponente, die als Web-Proxy fungiert. Alle Web-Zugriffe des Internet Explorer werden zwangsweise über diesen Proxy geleitet und bis auf wenige Ausnahmen blockiert. Die Ausnahmen bestehen in einer Scareware-Seite und einigen Porno-Sites.

Einige Minuten nach der Infektion eines Rechners mit Koobface erscheinen die ersten Pop-ups einer betrügerischen Schutz-Software mit Warnmeldungen über vorgeblich gefundene Viren. Das Scareware-Opfer wird genötigt eine Vollversion des gefälschten Antivirusprogramms zu kaufen. Die Website, auf der man diese Betrüger-Software erwerben soll, wird nicht blockiert.