RSS
 

Posts Tagged ‘koobface’

Svensk virusvarning seglivad

04 Jan

Jag råkade notera att en varning för Koobface sprids på Facebook just nu. Texten som skickas är ”Virus sprider sig som en löpeld på FB! Det är en trojan som heter mask Koobface. Det kommer att stjäla din info, invadera ditt system och stänga av den! INTE öppna länken Barack Obama Clinton Skandal! Om SmartGirl15 begär dig som vän, accepterar inte, det är ett virus. Om någon annan på din vänlista accepterar, då får du också viruset! Kopiera och klistra in på din logg… vänligen skicka vidare”.

Masken Koobface existerar visserligen och använder Facebook-länkar för att spridas men varningen är falsk. Varningstexten började skickas på engelska redan i juli 2010. På engelska verkar varningen ha dött ut men på svenska är den seglivad. Söker man på SmartGirl15 på Facebook är texterna endast på svenska (förutom något enstaka på finska).

 
 

Koobface igång igen

11 Dec

Efter att Koobfaces C&C-server stängdes ner i mitten av november har aktiviteten varit låg, men det var bara en fråga om tid innan Koobface skulle börja igen, med nya C&C-servrar. I sin spridning utnyttjar datormasken Koobface hackade FTP-konton (en av Koobface funktioner är just att stjäla inloggningsuppgifter till FTP-konton) för att lägga upp falska Youtube-sidor. Reklam för sidorna görs via Facebook och om man klickar på att visa Youtube-filmen försöker Koobface hämtas hem och installeras. I veckan upptäcktes en del FTP-konton där nya Koobface-script lagts upp och dessa har jag nu undersökt.

Som tidigare laddas filerna upp i en mapp med slumpat namn, till exempel ”72jks5wji”. Den här gången lades även en fil upp i rotmappen, mytest.php.

Mytest.php används för att kontrollera att servern fungerar, kör php och kan ansluta till servern med IP-nummer 94.100.25.58. Eftersom sidan som hämtas för närvarande skriver ut ”sys” kommer scriptet att skriva ut ”php dont working! sys”. IP-numret som testade att hämta mytest.php var just 94.100.25.58. Detta IP-nummer används även för att hämta statistik från sidorna som sprider Koobface och man kan misstänka att det är personerna bakom Koobface som hanterar denna server.

IP-numret är registrerat av företaget King Servers och Nederländerna anges som landskod. Kontaktperson för IP-serien är dock en Vladimir Fomenko med address i Storbritannien. Spamhaus har blockerat hela ip-serien för ”bulletproof cybercrime hosting operation”.

En annan nyhet är att Koobface tydligen sagt upp avtalet med adultfriendfinder.com. Istället skickas besökare som inte kan infekteras med Koobface till rolly.com. Detta visas i funktionen other() som körs om besökaren inte verkar använda Windows. I detta script kan man även notera att loggningen till en extren server kommenterats bort.