RSS
 

Posts Tagged ‘94.100.25.58’

Koobface igång igen

11 Dec

Efter att Koobfaces C&C-server stängdes ner i mitten av november har aktiviteten varit låg, men det var bara en fråga om tid innan Koobface skulle börja igen, med nya C&C-servrar. I sin spridning utnyttjar datormasken Koobface hackade FTP-konton (en av Koobface funktioner är just att stjäla inloggningsuppgifter till FTP-konton) för att lägga upp falska Youtube-sidor. Reklam för sidorna görs via Facebook och om man klickar på att visa Youtube-filmen försöker Koobface hämtas hem och installeras. I veckan upptäcktes en del FTP-konton där nya Koobface-script lagts upp och dessa har jag nu undersökt.

Som tidigare laddas filerna upp i en mapp med slumpat namn, till exempel ”72jks5wji”. Den här gången lades även en fil upp i rotmappen, mytest.php.

Mytest.php används för att kontrollera att servern fungerar, kör php och kan ansluta till servern med IP-nummer 94.100.25.58. Eftersom sidan som hämtas för närvarande skriver ut ”sys” kommer scriptet att skriva ut ”php dont working! sys”. IP-numret som testade att hämta mytest.php var just 94.100.25.58. Detta IP-nummer används även för att hämta statistik från sidorna som sprider Koobface och man kan misstänka att det är personerna bakom Koobface som hanterar denna server.

IP-numret är registrerat av företaget King Servers och Nederländerna anges som landskod. Kontaktperson för IP-serien är dock en Vladimir Fomenko med address i Storbritannien. Spamhaus har blockerat hela ip-serien för ”bulletproof cybercrime hosting operation”.

En annan nyhet är att Koobface tydligen sagt upp avtalet med adultfriendfinder.com. Istället skickas besökare som inte kan infekteras med Koobface till rolly.com. Detta visas i funktionen other() som körs om besökaren inte verkar använda Windows. I detta script kan man även notera att loggningen till en extren server kommenterats bort.