Securityleverancier Kaspersky heeft circa 100 unieke ip-adressen geïdentificeerd die de malware verspreiden. De nieuwe aanvallen van Koobface zijn volgens Kaspersky doortrapter dan ooit. De virusverspreider gebruikt Twitter om mensen naar een nagemaakte Facebook-pagina te leiden die gebruikers vraagt een Flash-upgrade te installeren. Dat is dan niet een update van die Adobe-software, maar een installatie van kwaadaardige software.

Het gaat om Twitter-berichten als "My home video :) [URL] LOL". De worm gebruikt iedere keer een unieke verkorte url, waardoor het blokkeren van specifieke url's onmogelijk is. De malafide Facebook-pagina is inmiddels offline gehaald.

Twitter-beveiliging schiet tekort

Stefan Tanase van Kaspersky denkt dat de huidige malwarebescherming van Twitter niet afdoende is. Vorige week maakte Twitter bekend dat het kwaadaardige url's gaat blokkeren. "Maar we zien aan deze aanval dat dit de problemen niet oplost. Twitter heeft zeker een stap vooruit gezet, maar één zwaluw maakt nog geen zomer". De blokkade van het sociale netwerk betreft namelijk de daadwerkelijke url's. Kwaadwillenden gebruiken nu dus gewoon url-verkortingsdiensten als TinyURL.

Blijft opduiken

Koobface dook voor het eerst op in juli 2008. In oktober 2008 bleek de worm juist Google Reader en Picasa Web te gebruiken om gebruikers door te sturen naar een nagemaakte Facebook-pagina waar dan malware wordt geïnstalleerd.