Virus Facebook: come funziona? Falsi messaggi inviati da amici dei contatti invitano a scaricare versioni di Flash o codec fasulli per vedere video

Koobface è un worm nocivo e agisce inviando automaticamente messaggi "attraenti" agli amici presenti nella lista contatti dell'utente infettato tramite il sistema di messaging di Facebook. I messaggi sono costruiti per invogliare i destinatari ad aprirli e leggerne il contenuto.
Questi messaggi "spam"

includono titoli come "Paris Hilton Tosses Dwarf on the Street", "You look just awesome in this new movie", "You must see it", etc. I destinatari vengono indotti a visitare un sito web (attualmente esistono diversi host compromessi) che richiede il download di un aggiornamento fasullo per Adobe Flash player (un messaggio informa l'utente che la versione del player è vecchia e richiede un aggiornamento).
Il presunto update "flash_player.exe" è in realtà una variante del codice worm Koobface. Se l'ignaro utente decide di eseguire il file scaricato riceve un messaggio di errore d'installazione fasullo. In realtà il malware si installa correttamente nel sistema vittima ed inizia a mettere in atto il suo payload che include il caricamento di un proxy server al successivo riavvio della macchina.

Koobface si pone in ascolto sulla porta TCP 9090 e esegue il proxing dell'intero traffico HTTP cosa che permette di dirottare le destinazioni di navigazione dell'utente (come le ricerche su Google, Yahoo, MSN, e Live.com) verso siti scelti dai cybercriminali (come find-www.net) allo scopo di perpetrare crimini come "ad hijacking" e "click fraud".

Per quanto riguarda la propagazione, Koobface esegue una ricerca di cookie relativi a siti di social networking. Se identifica questo tipo di dati tenta di modificarli in modo da aggiungere collegamenti a siti nocivi nel profilo utente sul web della vittima.

McAfee Avert Labs commenta: "Facebook è già a conoscenza della minaccia e sta eliminando i collegamenti spam dal proprio sistema. Tuttavia con le dozzine di varianti di Koobface di cui si conosce l'esistenza, la situazione è probabilmente destinata a peggiorare piuttosto che a migliorare. È importante notare che i collegamenti spam che puntano a Koobface probabilmente provengono da amici infettati, come risultato di recenti mass-mailing worm.
La pratica di safe-computing creata più di 10 anni fa è ancora valida oggi, cioè non aprire nessun allegato di posta inaspettato, anche se ricevuto da conoscenti. Solo in questo contesto, questa pratica può essere estesa a questo: non seguite nessun hyperlink non atteso che ricevete sul Web, per posta o IM, anche se ricevuto da un conoscente. È meglio chiedere conferma al mittente ed assicurarsi che lo abbia inviato volontariamente.

A parte i collegamenti ipertestuali, è meglio installare software e aggiornamenti dalle fonti (adobe.com in questo caso) invece di fidarsi di contenuti su siti web di terze parti".

Facebook incoraggia gli utenti a resettare la propria password di accesso e a eseguire uno scanner antivirus online.