Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 26. august 2009

Koobface flytter rundt - oppdatering

Her en kort oppdatering på hvilke domener og ip-adresser vi ser er relatert til Koobface.

De fleste domenene nevnt i forrige bloggpost om Koobface er fremdeles aktive og de har nå flyttet til nok en ny hosting-leverandør:


upr200908013.com | 91.212.127.140
xtsd20090815.com | 91.212.127.140
suz11082009.com | 91.212.127.140
boomer-110809.com | 91.212.127.140



I tillegg benyttes det et ferskere domene:


kiano-180809.com | 91.212.127.140



91.212.127.140 tilhører Telos Solutions LTD (AS49087) som eier et /24-nett. Vi har tidligere sett en del nedlastinger av falske antivirus-produkter fra AS49087, og en rapport fra Malware Domain List viser at dette nettet er noe man bør vurdere å blokkere i brannmurer.

torsdag 20. august 2009

Koobface flytter rundt

Denne uken har vi sett en stor økning av Koobface-infiserte klienter i Norge. Koobface sprer seg typisk ved å sende Facebook-meldinger til venner av noen som benytter en allerede infisert PC. Disse meldingene forsøker å lure mottakeren til å laste ned en falsk oppdatering av Flash Player via en forfalsket Facebook-side.



Hvis mottakeren laster ned og eksekverer denne falske oppdateringer vil de bli infisert av Koobface. Se også Finjans blogg for nærmere beskrivelse rundt hva som skjer når man blir infisert.

Hvordan begrense spredningen av Koobface
Gjengen bak Koobface benytter en rekke domener og ip-adresser som kontinuerlig tas ned når de blir oppdaget. Se Dancho Danchevs blogg for en oversikt over domener og ip-adresser som har blitt benyttet tidligere.

Følgende domener benyttes for redirigering til Koobface-sider, og er fremdeles aktive:


upr200908013.com | 221.5.74.46
xtsd20090815.com | 221.5.74.46
upr0306.com | 221.5.74.46
suz11082009.com | 221.5.74.46
boomer-110809.com | 221.5.74.46
piupiu-110809.com | 221.5.74.46
findhereandnow.com | 221.5.74.46



Disse nettstedene fungerer som "jump points" som redirigerer videre til selve siden(e) som sprer Koobface. I tillegg er det observert flere Blogger-sider som fungerer som slike "jump points", og noen av disse inneholder nå følgende kodesnutt som eksponerer hvilke servere gjengen bak Koobface benytter for øyeblikket:



Denne koden redirigerer brukerne til følgende sider:

hxxp:// 84.108.159.70 /0x3E8/
hxxp:// 24.98.91.127 /0x3E8/
hxxp:// 75.74.217.69 /0x3E8/
hxxp:// 67.177.76.184 /0x3E8/
hxxp:// 99.16.198.187 /0x3E8/
hxxp:// 98.218.80.56 /0x3E8/
hxxp:// 67.61.138.158 /0x3E8/
hxxp:// 76.99.40.212 /0x3E8/
hxxp:// 99.20.118.12 /0x3E8/
hxxp:// 76.111.247.94 /0x3E8/
hxxp:// 84.228.229.254 /0x3E8/
hxxp:// 71.201.225.30 /0x3E8/
hxxp:// 130.132.18.244 /0x3E8/
hxxp:// 98.214.114.251 /0x3E8/
hxxp:// 64.217.51.113 /0x3E8/



Vi anbefaler å blokkere disse i brannmur/proxy.

 
>