De server die instructies naar de besmette machines stuurt, is vrijdagavond offline gehaald. Deze actie is slechts een van de stappen in de bestrijding van het hardnekkige Koobface-botnet, meldt de IDG-nieuwsdienst.

In een nieuw rapport (PDF) beschrijven de betrokken security-onderzoekers de werking van het botnet. Zij belichten ook de achtergronden van de criminele bende achter Koobface. De onderzoekers hebben samengewerkt met opsporingsdiensten en internetproviders. De criminelen achter het botnet hebben meer dan 2 miljoen dollar verdiend in een jaar tijd, aldus de onderzoekers.

1 van de 3 hoofdservers

Volgens Nart Villeneuve, de ceo van SecDev Group, is de offline gehaalde server een van de drie hoofdsystemen van Koobface. De Britse isp Coreix heeft deze c&c-server uit de lucht gehaald. Dat is gebeurd nadat de onderzoekers contact met de provider hadden opgenomen. Coreix was nog onbereikbaar voor commentaar.

Om Koobface echt schade toe te brengen moet er nog meer gebeuren. De besmette pc's leggen namelijk ook verbindingen met 'tussenservers', zoals webservers waarvan de ftp-inloggegevens zijn buitgemaakt door de cybercriminelen. Villeneuve en zijn team hebben meerdere isp's op de hoogte gebracht van de misbruikte ftp-accounts. Ook hebben ze Facebook en Google ingelicht over honderden tot duizenden accounts die door de Koobface-malware worden ingezet.

Via Facebook en Google

De Facebook-accounts zijn gebruikt om slachtoffers te verleiden tot een bezoekje aan pagina's op de Blogspot-dienst van Google. Daar vandaan werden de slachtoffers weer doorgestuurd naar websites met de malicieuze Koobface-code.

De onderzoekers die Koobface hebben geanalyseerd, hebben eerder ook Ghostnet aan het licht gebracht.

Mac OS X-variant

Eind vorige maand maakten virusexperts bekend een Mac OS X-versie van de Koobface-worm te hebben ontdekt op het internet. De Mac-variant (trojan.osx.boonana.a) van deze malware verspreidt zich via sociale netwerksites, zoals Facebook en Twitter, maar gebruikt ook 'ouderwets' e-mail.

Het is een als video vermomde Java-applet die Mac-gebruikers verleidt tot installeren met de melding dat er nog een videocodec nodig is voor het afspelen van het videobestand. Installatie van die zogenaamde codec betekent installatie van de malware.