За несколько лет Koobface претерпел множество изменений и на данный момент представляет из себя довольно сложный вредоносный код, который, скорее всего, поддерживается несколькими разработчиками. Создатели Koobface с завидным упорством стараются как можно шире распространить своё детище, применяя различные техники для предотвращения обнаружения червя антивирусами.

Несмотря на свой успех, червь внезапно прекратил своё распространение по Facebook в феврале этого года, что несколько озадачило исследователей. Однако в апреле эксперты по безопасности из компании FireEye сообщили, что Koobface продолжает действовать в качестве платформы по распространению других вредоносных программ и что серверы, контролирующие Koobface, всё ещё работоспособны.

Судя по новому образцу Koobface, обнаруженному недавно исследователями из Trend Micro, похоже, что все эти месяцы создатели червя работали над новым методом его распространения. В новой версии червя присутствует приложение uTorrent 2.2.1, которое незаметно работает в фоновом режиме для распространения торрентов, содержащих трояны. Подобные торренты выглядят как торренты со взломанными версиями популярных программ или игр. Во избежание обнаружения антивирусами в новой версии используется шифрование. В мошеннических торрентах, размещаемых на публичных трекерах, содержится несколько компонентов, способных дешифровать друг друга.

"Переход от распространения через социальные сети к распространению через торрент-сеть может быть следствием действий разработчиков социальных сетей, которые активно пытались изгнать червя Koobface из своей инфраструктуры, - пишут исследователи из Trend Micro. - Несмотря на изменение [поведения червя], пользователям стоит иметь в виду, что банда Koobface не перестала разрабатывать схемы по заражению пользовательских систем. Просто они ищут другие способы для реализации своих планов".

stfw.ru