Allein im Monat Juni ist die Anzahl der entdeckten Varianten des Wurms Koobface von 324 auf knapp 1000 angestiegen. Koobface, dessen Name aus "Facebook" gebildet wurde, ist vor etwa einem Jahr bekannt geworden. Er hat auf Facebook und Myspace sein Unwesen getrieben und Links zu vorgeblichen Youtube-Videos verbreitet. Inzwischen haben die Hintermänner ihre Zielgruppe ausgeweitet und verbreiten den Wurm auch über Twitter, Hi5, Bebo, Netlog und Tagged.

Tummelplatz für Koobface sind und bleiben also soziale Netzwerke. Wie der russische Antivirushersteller Kaspersky Lab berichtet, haben die Malware-Forscher inzwischen bereits mindestens 1049 Koobface-Varianten entdeckt, davon 575 im Juni. Angriffe über soziale Netzwerke sind recht effektiv, da die Nutzer ein implizites Vertrauen in die Legitimität der erhaltenen Nachrichten haben. Sie kommen scheinbar von Personen, die sie als Freunde betrachten.

Bereits Ende Juni hatte der Antivirushersteller Trend Micro in seinem Malware-Blog berichtet, dass Koobface nun auch Twitter als Vehikel nutzt. Der Wurm holt sich die Tweets von einem Kontroll-Server der Koobface-Macher. Er generiert Kurz-URLs über TinyURL, um die Link-Ziele zu verschleiern.

Die Links führen zu den typischen Youtube-Imitaten. Das sind Web-Seiten mit Youtube-Logo, die ein vorgebliches Video anbieten. Wer das vermeintliche Video anklickt, erhält die Aufforderung eine neue Version des Flash Player zu installieren. Die angebotene "setup.exe" ist jedoch eine Kopie des Wurms.