Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 20. august 2009

Koobface flytter rundt

Denne uken har vi sett en stor økning av Koobface-infiserte klienter i Norge. Koobface sprer seg typisk ved å sende Facebook-meldinger til venner av noen som benytter en allerede infisert PC. Disse meldingene forsøker å lure mottakeren til å laste ned en falsk oppdatering av Flash Player via en forfalsket Facebook-side.



Hvis mottakeren laster ned og eksekverer denne falske oppdateringer vil de bli infisert av Koobface. Se også Finjans blogg for nærmere beskrivelse rundt hva som skjer når man blir infisert.

Hvordan begrense spredningen av Koobface
Gjengen bak Koobface benytter en rekke domener og ip-adresser som kontinuerlig tas ned når de blir oppdaget. Se Dancho Danchevs blogg for en oversikt over domener og ip-adresser som har blitt benyttet tidligere.

Følgende domener benyttes for redirigering til Koobface-sider, og er fremdeles aktive:


upr200908013.com | 221.5.74.46
xtsd20090815.com | 221.5.74.46
upr0306.com | 221.5.74.46
suz11082009.com | 221.5.74.46
boomer-110809.com | 221.5.74.46
piupiu-110809.com | 221.5.74.46
findhereandnow.com | 221.5.74.46



Disse nettstedene fungerer som "jump points" som redirigerer videre til selve siden(e) som sprer Koobface. I tillegg er det observert flere Blogger-sider som fungerer som slike "jump points", og noen av disse inneholder nå følgende kodesnutt som eksponerer hvilke servere gjengen bak Koobface benytter for øyeblikket:



Denne koden redirigerer brukerne til følgende sider:

hxxp:// 84.108.159.70 /0x3E8/
hxxp:// 24.98.91.127 /0x3E8/
hxxp:// 75.74.217.69 /0x3E8/
hxxp:// 67.177.76.184 /0x3E8/
hxxp:// 99.16.198.187 /0x3E8/
hxxp:// 98.218.80.56 /0x3E8/
hxxp:// 67.61.138.158 /0x3E8/
hxxp:// 76.99.40.212 /0x3E8/
hxxp:// 99.20.118.12 /0x3E8/
hxxp:// 76.111.247.94 /0x3E8/
hxxp:// 84.228.229.254 /0x3E8/
hxxp:// 71.201.225.30 /0x3E8/
hxxp:// 130.132.18.244 /0x3E8/
hxxp:// 98.214.114.251 /0x3E8/
hxxp:// 64.217.51.113 /0x3E8/



Vi anbefaler å blokkere disse i brannmur/proxy.

1 kommentar:

Dag Stian sa...

Fant denne artikkelen da jeg søkte etter informasjon om nettstedet "http://boomer-110809.com". Fikk en masseutsendt facebook-melding fra en venn med følgende innhold:
"HA-HA-HA!!
http://boomer-110809.com/youtube.com/"
og tittelen "LOL video". Da jeg prøvde å åpne linken ble jeg stoppet av AVG viruskontrollen, som meldte om et trojanerangrep. Mulig det er gammelt nytt med virus i facebook-meldinger, men tenkte jeg skulle poste denne informasjonen her iallefall, ettersom jeg ikke finner så mye konkret informasjon ellers.

 
>