Dass der Wurm KOOBFACE sich über Social-Networking-Sites wie Facebook, MySpace und Twitter verbreitet, ist mittlerweile bekannt. Aber wie heißt es so schön: Der Teufel steckt im Detail. Deshalb hat der Sicherheitsanbieter Trend Micro das Botnetz analysiert und dabei Erstaunliches zu Tage gefördert:
1. KOOBFACE weiß Bescheid: KOOBFACE kann alle Daten aus Ihrem Facebook-, MySpace- oder Twitter-Profil entwenden. Profilseiten dieser sozialen Netzwerke geben Auskunft über Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer), Interessen (Hobbys u.ä.), Verbindungen (Unternehmen, Universitäten) und den Job (Arbeitgeber, Stelle, Gehalt). Also passen Sie auf - KOOBFACE weiß eine Menge!
2. KOOBFACE kennt Sie nicht nur über Ihre Profildaten, sondern weiß auch, wie Sie aussehen: Das Bot-Netz stiehlt nicht nur Profildaten, sondern holt sich auch Ihr Profilbild, damit der Name ein Gesicht bekommt.
3. URLs zu KOOBFACE-Malware befinden sich entweder auf infizierten oder kostenfreien Hosting-Websites: Ganz recht, man kann auch billig sagen. Aber die Leute, die hinter KOOBFACE stecken, machen regen Gebrauch von infizierten und kostenfreien Hosting-Websites, über die Spam-Mails mit KOOBFACE-Links und Schlagwörtern wie "Funny Video" (zu Deutsch etwa "Lustiges Video") an Kontaktnetzwerke versendet werden. Der Link führt zu einer gefälschten YouTube- oder Facebook-Site, die wiederum mit der KOOBFACE-Malware verknüpft ist.
4. KOOBFACE-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: KOOBFACE installiert eine Web-Serverkomponente, die den infizierten Computer zu einem Teil des Malware-verbreitenden KOOBFACE-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu KOOBFACE-Malware führen.
5. KOOBFACE-Zombies können neu gepackte Versionen der Malware verteilen: KOOBFACE-Webserver können mit Hilfe von UPX, einem beliebten Pack-Programm für ausführbare Dateien und Programme, die von ihnen bereitgestellten KOOBFACE-Binärdateien packen, d.h. komprimieren.
6. Die Hälfte aller KOOBFACE-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.
7. KOOBFACE kann IP-Adressen sperren: KOOBFACE hat, wahrscheinlich um zu verhindern, dass es von neugierigen Virenforschern gesperrt oder ausspioniert wird, eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird.
8. KOOBFACE kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus implementiert, der das Versenden von Spam-URLs verhindert. KOOBFACE versucht dies zu umgehen, indem es zuerst ausprobiert, ob Facebook einen KOOBFACE-Spam-Link sperrt oder nicht.
Nur mehrstufige Sicherheit bietet ausreichenden Schutz
KOOBFACE ist ein weiteres Beispiel dafür, dass traditionelle Virenscanner nicht mehr ausreichen, um mit den ausgefeilten Webbedrohungen von heute allein fertig zu werden. Der Schutz muss folglich schon im Internet beginnen und mehrere Mechanismen miteinander kombinieren. Dies ist der Kerngedanke des Trend Micro Smart Protection Network, der Cloud Client Sicherheitsinfrastruktur des Security-Anbieters. Sie kombiniert Sicherheitskomponenten, die sowohl auf dem Rechner als auch im Internet angesiedelt sind und miteinander in Verbindung stehen. Dadurch kann der Zugriff zum Beispiel auf mit KOOBFACE infizierte Seiten blockiert werden, Spam-Mails mit gefälschten Facebook- oder YouTube-Seiten werden automatisch aussortiert, noch bevor sie auf den Rechner des Anwenders gelangen.
Forschungspapier zu KOOBFACE:
Das Trend Micro-Forschungspapier zu KOOBFACE kann unter http://us.trendmicro.com/... heruntergeladen werden.
1. KOOBFACE weiß Bescheid: KOOBFACE kann alle Daten aus Ihrem Facebook-, MySpace- oder Twitter-Profil entwenden. Profilseiten dieser sozialen Netzwerke geben Auskunft über Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer), Interessen (Hobbys u.ä.), Verbindungen (Unternehmen, Universitäten) und den Job (Arbeitgeber, Stelle, Gehalt). Also passen Sie auf - KOOBFACE weiß eine Menge!
2. KOOBFACE kennt Sie nicht nur über Ihre Profildaten, sondern weiß auch, wie Sie aussehen: Das Bot-Netz stiehlt nicht nur Profildaten, sondern holt sich auch Ihr Profilbild, damit der Name ein Gesicht bekommt.
3. URLs zu KOOBFACE-Malware befinden sich entweder auf infizierten oder kostenfreien Hosting-Websites: Ganz recht, man kann auch billig sagen. Aber die Leute, die hinter KOOBFACE stecken, machen regen Gebrauch von infizierten und kostenfreien Hosting-Websites, über die Spam-Mails mit KOOBFACE-Links und Schlagwörtern wie "Funny Video" (zu Deutsch etwa "Lustiges Video") an Kontaktnetzwerke versendet werden. Der Link führt zu einer gefälschten YouTube- oder Facebook-Site, die wiederum mit der KOOBFACE-Malware verknüpft ist.
4. KOOBFACE-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: KOOBFACE installiert eine Web-Serverkomponente, die den infizierten Computer zu einem Teil des Malware-verbreitenden KOOBFACE-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu KOOBFACE-Malware führen.
5. KOOBFACE-Zombies können neu gepackte Versionen der Malware verteilen: KOOBFACE-Webserver können mit Hilfe von UPX, einem beliebten Pack-Programm für ausführbare Dateien und Programme, die von ihnen bereitgestellten KOOBFACE-Binärdateien packen, d.h. komprimieren.
6. Die Hälfte aller KOOBFACE-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.
7. KOOBFACE kann IP-Adressen sperren: KOOBFACE hat, wahrscheinlich um zu verhindern, dass es von neugierigen Virenforschern gesperrt oder ausspioniert wird, eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird.
8. KOOBFACE kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus implementiert, der das Versenden von Spam-URLs verhindert. KOOBFACE versucht dies zu umgehen, indem es zuerst ausprobiert, ob Facebook einen KOOBFACE-Spam-Link sperrt oder nicht.
Nur mehrstufige Sicherheit bietet ausreichenden Schutz
KOOBFACE ist ein weiteres Beispiel dafür, dass traditionelle Virenscanner nicht mehr ausreichen, um mit den ausgefeilten Webbedrohungen von heute allein fertig zu werden. Der Schutz muss folglich schon im Internet beginnen und mehrere Mechanismen miteinander kombinieren. Dies ist der Kerngedanke des Trend Micro Smart Protection Network, der Cloud Client Sicherheitsinfrastruktur des Security-Anbieters. Sie kombiniert Sicherheitskomponenten, die sowohl auf dem Rechner als auch im Internet angesiedelt sind und miteinander in Verbindung stehen. Dadurch kann der Zugriff zum Beispiel auf mit KOOBFACE infizierte Seiten blockiert werden, Spam-Mails mit gefälschten Facebook- oder YouTube-Seiten werden automatisch aussortiert, noch bevor sie auf den Rechner des Anwenders gelangen.
Forschungspapier zu KOOBFACE:
Das Trend Micro-Forschungspapier zu KOOBFACE kann unter http://us.trendmicro.com/... heruntergeladen werden.
