68850

Koobface-Wurm macht Facebook wieder unsicher

08.12.2008 | 16:36 Uhr |

Das soziale Netzwerk Facebook wird von einer neuen Wurm-Plage heimgesucht. Die Sicherheitsfachleute von Facebook kommen mit dem Aufräumen kaum hinterher. Der Schädling verbreitet sich als vorgeblicher Flash Player.

Wer dieser Tage bei Facebook untermutet Nachrichten erhält, die ihn zum Betrachten eines Videos verleiten sollen, kann leicht in die Malware-Falle tappen. Neue Varianten des Wurms "Koobface" machen das beliebte soziale Netzwerk unsicher und versenden Spam-artig Einladungen, die auf ein vermeintlich tolles Video hinweisen. Tatsächlich kann sich der Eingeladene jedoch schnell Malware einfangen, wenn er dem Link folgt.

Die Nachrichten lauten zum Beispiel "You look just awesome in this new movie" oder "You look so amazing funny on our new video". Wie Craig Schmugar im Mcafee Avert Blog berichtet, führt der Link zu einer Seite, wo statt des erwarteten Videos nur eine Fehlermeldung zu sehen ist. Der installierte Flash Player sei veraltet und man möge doch die neueste Version installieren, um das Video ansehen zu können.

Der Download-Link schaufelt eine Datei namens "flash_player.exe" auf den Rechner, die den Koobface-Wurms installiert, falls sie ausgeführt wird. Zur Tarnung zeigt er eine vorgebliche Fehlermeldung an: "Error installing Flash Update. Please contact support".

Die Facebook-Mannschaft ist bereits seit Tagen dabei die Spam-Links innerhalb von Facebook zu entfernen, kommt jedoch auf Grund der Masse kaum hinterher. Diverse, auch ältere Varianten des Koobface-Wurms sind zum Teil noch aktiv oder haben zumindest den Boden für die aktuellen Versionen des Wurms bereitet.

Der Schädling etabliert auf befallenen Rechnern einen Proxy-Dienst, der den Port 9090 nutzt. Aller Web-Datenverkehr des Rechners wird über diesen Proxy geleitet. Der sucht insbesondere nach Anfragen bei Suchmaschinen wie Google, Live.com oder Yahoo, um die die Suchergebnisse zu kapern. Die Suchanfragen werden umgeleitet und die Täter bereichern sich unter anderem mit Klick-Betrug.

0 Kommentare zu diesem Artikel
68850