Koobface flytter rundt

Denne uken har vi sett en stor økning av Koobface-infiserte klienter i Norge. Koobface sprer seg typisk ved å sende Facebook-meldinger til venner av noen som benytter en allerede infisert PC. Disse meldingene forsøker å lure mottakeren til å laste ned en falsk oppdatering av Flash Player via en forfalsket Facebook-side.



Hvis mottakeren laster ned og eksekverer denne falske oppdateringer vil de bli infisert av Koobface. Se også Finjans blogg for nærmere beskrivelse rundt hva som skjer når man blir infisert.

Hvordan begrense spredningen av Koobface
Gjengen bak Koobface benytter en rekke domener og ip-adresser som kontinuerlig tas ned når de blir oppdaget. Se Dancho Danchevs blogg for en oversikt over domener og ip-adresser som har blitt benyttet tidligere.

Følgende domener benyttes for redirigering til Koobface-sider, og er fremdeles aktive:

upr200908013.com    | 221.5.74.46
xtsd20090815.com    | 221.5.74.46
upr0306.com         | 221.5.74.46
suz11082009.com     | 221.5.74.46
boomer-110809.com   | 221.5.74.46
piupiu-110809.com   | 221.5.74.46
findhereandnow.com  | 221.5.74.46

Disse nettstedene fungerer som "jump points" som redirigerer videre til selve siden(e) som sprer Koobface. I tillegg er det observert flere Blogger-sider som fungerer som slike "jump points", og noen av disse inneholder nå følgende kodesnutt som eksponerer hvilke servere gjengen bak Koobface benytter for øyeblikket:



Denne koden redirigerer brukerne til følgende sider:

hxxp:// 84.108.159.70 /0x3E8/
hxxp:// 24.98.91.127 /0x3E8/
hxxp:// 75.74.217.69 /0x3E8/
hxxp:// 67.177.76.184 /0x3E8/
hxxp:// 99.16.198.187 /0x3E8/
hxxp:// 98.218.80.56 /0x3E8/
hxxp:// 67.61.138.158 /0x3E8/
hxxp:// 76.99.40.212 /0x3E8/
hxxp:// 99.20.118.12 /0x3E8/
hxxp:// 76.111.247.94 /0x3E8/
hxxp:// 84.228.229.254 /0x3E8/
hxxp:// 71.201.225.30 /0x3E8/
hxxp:// 130.132.18.244 /0x3E8/
hxxp:// 98.214.114.251 /0x3E8/
hxxp:// 64.217.51.113 /0x3E8/

Vi anbefaler å blokkere disse i brannmur/proxy.