Kaspersky Lab, de toonaangevende leverancier van internetbeveiligingsoplossingen voor bedrijven en consumenten, heeft twee nieuwe varianten van wormen gedetecteerd. De wormen, Net-Worm.Win32.Koobface.a. en Net-worm.Win32.Koobface.b, vallen MySpace en Facebook aan, transformeren computers van slachtoffers naar zombiecomputers om botnets te kunnen vormen.
Net-Worm.Win32.Koobface.a verspreidt zich wanneer een gebruiker toegang heeft tot zijn of haar MySpace account. Deze worm plaatst berichtjes op accounts van vrienden. Net-Worm.Win32.Koobface.b, die zich op gebruikers van Facebook richt, creëert spam-berichten en verzendt deze naar de vrienden via de Facebook-site. De berichten hebben teksten als: Paris Hilton Tosses Dwarf On The Street; Examiners Caught Downloading Grades From The Internet; Hello; You must see it!!! LOL. My friend catched you on hidden cam; Is it really celebrity? Funny Moments en vele anderen.
De berichten bevatten links naar youtube.[skip].pl, een nepversie van Youtube. Wanneer de gebruiker op deze link klikt en de video probeert te bekijken, krijgt men een melding dat de laatste versie van Flash Player geïnstalleerd moet worden om deze te kunnen bekijken. In plaats van de laatste versie van Flash Player, wordt er een bestand genaamd codesetup.exe gedownload. Deze netwerkworm verspreidt vervolgens weer dezelfde berichten naar alle vrienden van de gebruiker.
"Helaas vertrouwen veel gebruikers de berichten van vrienden zonder er bij na te denken. Het is dus zeer waarschijnlijk dat een gebruiker op een dergelijke link klikt", aldus Alex, Senior Virus Analist bij Kaspersky Lab. "Begin 2008 voorspelden we een dergelijke tendens waarbij cybercriminelen steeds meer gebruik maken van MySpace, Facebooks en soortgelijke sites. Dit is het bewijs. Ik ben er zeker van dat dit slechts de eerste stap is en dat virusschrijvers zich meer en meer op dergelijke sites zullen richten."
Hoewel de wormen zich nu alleen richten op MySpace en Facebook, waarschuwen de analisten van Kaspersky Lab gebruikers dat de wormen ontworpen zijn om er meer kwaadaardige modules aan toe te voegen. Het is zeer waarschijnlijk dat de computers van slachtoffers niet alleen gebruikt worden voor het verspreiden van links via sociale netwerksites, maar dat de botnets ook gebruikt zullen worden voor andere kwaadaardige doelen.
Kaspersky Internet Security detecteerde de internetdreiging proactief en op 31 juli 2008 werden nieuwe signatures aan de database toegevoegd.
