Der Koobface-Wurm ist im Netz von Facebook bereits ein alter Bekannter. Im Dezember 2008 wurde er dort als vorgeblicher Flash Player verbreitet. Jetzt hat er sein Tätigkeitsfeld auf eine Reihe weiterer sozialer Netzwerke ausgedehnt. Er versendet Einladungen zum Betrachten vorgeblicher Videos, die scheinbar von Bekannten kommen. Statt eines Videos erwartet Neugierige jedoch der Download einer Wurmkopie.

Wie Jamz Yaneza im Malware-Blog von Trend Micro berichtet, gibt sich der Wurm auch dieses Mal wieder als Update für den Adobe Flash Player aus. Diese Masche drängt sich förmlich auf, hat doch Adobe gerade erst neue Versionen seiner Flash-Software bereit gestellt, um Sicherheitslücken zu schließen.

Die Nachricht, die zum Betrachten eines Videos einlädt, kommt von einem Bekannten - sogar das Foto der Person hat der Wurm aus dem Profil des Benutzers kopiert. Sie enthält einen Link zu einer Website, die auf den ersten Blick wie Youtube aussieht, jedoch eine Fälschung ist. Sie enthält sogar ebenso gefälschte Kommentare anderer Besucher.

Eine Meldung weist Besucher darauf hin, dass sie angeblich eine veraltete Version von Adobes Flash Player einsetzen und bietet den Download der aktuellen Version an. Dabei handelt es sich jedoch um eine Kopie des Koobface-Wurms. Dieser meldet sich mit den aus Browser-Cookies entnommenen Anmeldedaten bei sozialen Netzwerken an und sucht nach Kontakten des Benutzers. An diese verschickt er dann neue Einladungen.

Der Wurm nimmt Kontakt mit einem Server im Internet auf, sendet Daten und empfängt neue Anweisungen. Neben Facebook und Myspace sind nach Analyse von Trend Micro auch soziale Netzwerke wie Bebo, Friendster, Hi5, Livejournal, myYearbook, Netlog oder Tagged Ziel der neuen Koobface-Variante. Soziale Netzwerke entwickeln sich seit einiger Zeit zu einem beliebten Tummelplatz für Datendiebe und Betrüger.