n zilele noastre, nimic nu este mai popular ca reelele de socializare, care asigur utilizatorilor

posibilitatea de a se conecta, a comunica unii cu alii i a distribui diverse postri prin intermediul acestora. Site-
urile sociale, servesc, de asemenea, ca platforme pentru industria reclamelor, permitnd bussines-urilor s
devin cunoscute cu uurint la nivel global, de cnd utilizatorii acestor site-uri de socializare distribuie postri
n diverse zone geografice .
Un exemplu pentru aceste site-uri de socializare este Facebook-ul, care, de fapt, este i cel mai mare de
acest gen. Deschiznd platforma Facebook publicului larg, site-ul i-a deschis uile pentru dezvoltatori care pot
creea aplicaii n interiorul acestei reele de socializare.Facebook-ul a transformat uor uor peisajul tehnicii de
calcul n cadrul aplicaie sale. Mesajele instant (IM), mesajele private, jocurile interactive au nlocuit omologii
lor. Viziunea de a face browser-ul o platform este uor materializat cu fiecare aplicaie nou dezvoltata pentru
site.
Pentru hackeri, schimbul de la aplicaiile bazate pe desktop la aplicaiile bazate pe web, n particular
aplicaiile bazate pe site urile reelelor de socializare, reprezint o nou posibilitate de abuz.Cu ct mai mult
lume comunic prin intermediul acestor reele, cu att mai mult acestea devin platforme de distribuie a
programelor malware. De fapt, aceste modificari s-au produs deja . i email-ul ca platforma de livrare a fost
abuzat de spam-uri i diveri viermi. La fel s-a intmplat i cu aplicaiile pentru IM (mesaje instant). Acum, dup
cum a evoluat tehnologia, dar i dup cum s-a modificat comportamentul userilor , reelele site-urilor de
socializare dominnd mediul online, nu este o surpriz c acest nou tip de malware, viermele Koobface
cltorete folosindu-se de aceste noi metode de propagare.
Pentru familiarizareacu programele malware i pentru a evita confuziile att de des ntalnite, acestea cor fi
prezentate pe scurt, n cele ce urmeaz. Trebuie menionat de la nceput c exist mai multe categorii de
programe malware, care au produs pagube i panic n lumea utilizatorilor, de a lungul timpului .
Primele ameninri de acest gen au fost aa numiii virui, care reprezint programe ce copiaz i
infecteaz un calculator, rspndindu-se de la un fiier la altul i de la un computer la altul. De regul,
viruii se ataeaz de fiiere executabile , dar unele pot viza un master boot record sau fiiere arbitrare.
Majoritatea viruilor sunt concepui pentru a face computerul complet inoperabil, n timp ce restul pur
si simplu corup sau terg fiiere.
Ce-a de-a doua categorie de programe duntoare este reprezentat de spyware, care sunt programe
instalate pe computer i colecteaz date fr tirea utilizatorului , cu trimiterea acestor informaii ctre
cel care a creat programele respective. Aceste programe pot afla parole, dar i alte date cu caracter
personal. De obicei nu fac inoperabil computerul, ci doar l ncetinesc, principalul scop al acestor
programe fiind unul economic.
Scareware-ul este un mod de atac relativ nou, n care userii sunt pclii s downloadeze ceea ce pare a
fi un antivirus, care ulterior va anuna userul c PC-ul este infectat cu sute de virui i poate fi curat
doar n cazul n care o licen complet va fi cumparat.
Un alt tip de malware destul de des ntalnit este reprezentat de calul troian, care aparent are un
comportament inofensiv. Acetia creeaz un backdoor care permite computerului s fie controlat de la
distan, fie direct, fie indirect, fie ca parte a unui botnet (o reea de calculatoare care sunt i ele
infectate cu un troian sau cu alt software ru intenionat). Troianul poate fi utilizat ca un atac de negare
a serviciului (DoS), atac mpotriva unui site web, un server proxy pentru ascunderea atacurilor sau
pentru trimiterea de spam in mas.
n ultimul rnd, dar deloc neglijabili sunt viermii de calculatoare , care folosesc reeaua pentru a se
mprtia pe alte computere, de obicei n mod automat, fr a fi nevoie de intervenia unui utilizator .
Acetia au abilitatea de a se rspndi foarte rapid, infectnd fiecare computer din calea lor, tinznd s
fie cel mai bine cunoscut tip de malware, dei muli utilizatori se refer din greeal la ei ca fiind virui.
Koobface este un malware revoluionar, primul cu cel mai mare succes i cea mai mare rspndire prin
intermediul reelolor de socializare, purtndu-i numele, ironic sau nu, ca o anagram pentru principalul site
vizat, i anume Facebook. Succesul su, din nefericire, poate anuna apariia altor familii de malware care vor fi
mai sofisticate i vor abuza cu mai multa uurint site-urile reelelor de socializare.
n cele ce urmeaza , este prezentat succint, dar clar viermele Koobface, pentru a permite userilor reelelor
de socializare i nu numai, s inteleaga ce poate face acest program malware i cum poate fi evitat.
 n mod obinuit, viermele se prezint sub forma unui link, speculnd curiozitatea userilor de a accesa
respectivul videoclip. Urmnd link-ul propus de vierme, utilizatorul va fi condus spre un clip video, aprand
automat un mesaj de solicitare a instalrii unui software suplimentar, necesar redrii videoclipului. O dat fcut
acest pas neispirat, viermele poate utiliza nestingherit contul de socializare al userului pentru a rspndi link-uri
proprii, dar poate face i alte lucruri, cum ar fi instalarea unor programe antivirus false, nregistrarea i
transmiterea n mod fraudulos a parolelor , furarea datelor de pe computerul afectat.
Viermele Koobface are n structura sa mai multe componente, fiecare dintre acestea avnd funcii speciale.
n timp ce majoriatatea programelor de acest gen i nghesuiesc toate funciile ntr-un singur fiier, Koobface-ul
are alocat cate un fiier diferit pentru fiecare funcie n parte, dar care funcioneaz mpreun ( formnd botnet-
ul Koobface-ului).
O infecatare clasic cu viermele Koobface ncepe cu un spam trimis prin intermediul Facebook-ului,
Twitter-ului, MySpace-ului sau orice alt reea de socializare, coninnd un mesaj captivant, cu un link spre un
videoclip.

De asemenea, Koobface-ul poate trimite mesaje ctre inbox-ul prietenilor utilizatorului computerului infectat
prin intermediul site-urilor de socializare. (fig pg4)
Dnd click pe respectivul link, userul va fi redirecionat spre un web site al crui design va mima YouTUbe-ul
(dar, de fapt, este numit YuoTube), care va cere userului s instaleze un fiier executabil (.EXE), acesta fiind
indispensabil vizualizrii video-ului.

Fiierul executabil (.EXE) nu este viermele Koobface in sine, ci doar un downloader al componentelor
viermelui. Aceste componente pot fi clasificate in
Componenta Koobface downloader
Componente de propagare a viermelui pe reelele de socializare
Componente ale serverului Web
 Anunuri i programe antivirus (AV) false
Componente sprgtoare de CAPTCHA
Componente care fur informaii/ date din computerul afectat
Hijacke-uri Web search
Componente care schimba DNS ul (Domain Name System)
n cele ce urmeaz, voi prezenta n amnunt componentele Koobface-ului. (fig pg 5)
Prima componenta despre care voi detalia este Downloaderul KoobFace, cunoscut drept falsul Adobe
flash component sau video codec pentru site-ul fals de YouTube, necesar vizualizrii clipului care se
nchide spontan sau este inexistet. De fapt, funciile acestei componente sunt urmtoarele
Descoperirea site-urilor de socializare utilizate de userul al crui computer a fost afectat
Conectarea cu Koobface Command and Control ( C&C)
Downloadarea componentelor viermelui Koobface.
Pentru a descoperi site-urile de socializrae folosite de userul al crui computer a fost afectat, viermele Koobface
ptrunde n instoricul computerului, vizualizeaz activittiile acestuia i le verific. Downloaderul Koobface
verific cookiurile pentru mai multe reele de socializare Facebook, MySpace, HI5, Friendsster, MyYearBook,
Tagged, Bebo, Netlog, Fubar, Twitter. Prezena acestora n istoric semnific faptul c userul a fost logat la
oricare din aceste reele de socializare menionate anterior. n acest caz, downloaderul Koobface raporteaz toate
cookiurile reelelor de socializare ntlnite n istoric ctre Koobface C&C. n funcie de reeaua ntlnit,
Koobface C&C decide de ce componente adiionale are nevoie malware-ul i trimite comanda downloaderului
Koobaface de a downloada i instala componantele de propagare pe reele de socializare i componente
rspunztoare de trimiterea mesajelor false pe reelele de socializare. Pe lng acestea, Koobface C&C poate
instrui downloaderul Kooface s descarce alte programe malware (ru intenionate), care acioneaz ca site-uri
Web, anunuri false , antivirusuri false, sprgtoare de CAPTCHA, progarme ce fur date, hijackers Web,
schimbtoare de DNS.
Cea de-a doua component , componenta de propagare pe reelele de socializare a Koobface-ului face
referire la vierme, aceast component fiind responsabil de trimiterea mesajelor prin intermediul
reelelor de socializare.

n general, fiecare component de propagare pe reelele de socializare este conceput pentru mai multe
sarcini, cum ar fi
Contactarea C&C Koobface
Primirea mesajelor si URL urilor pe reelele de socializare
Postarea mesajelor primite i URL-urilor de la Koobface C&C i trimiterea acestora n inbox-ul
reelelor de socializare al prietenilor userului infectat
Componentele de propagare pe reelele de socializare cuprind mai multe fiiere binare. Fiecare dintre aceste
fiiere a fost special conceput s poat manipula o anumit reea de socializare. Componenta de propagare pe
reelele de socializare contacteaz unul din C&C Koobface, care apoi va emite comenzi ce vor fi executate pe
computerul afectat. Koobface C&C trimite mesaje i URL-uri care vor fi postate pe site-urile de socializare ale
userului de pe computerul infectat ca statusuri/ checkin-uri sau chiar mesaje trimise n lista de prieteni de pe
respectivele site-uri de socializare.
 Serverul Web al Koobface transform computerul infectat in un server netiutor, care va face parte din
botnet-ul viermelui Koobface. (fig)
Odat ce sistemul e transformat n un server Web, Koobfaec C&C primete notificarea despre computer, si
anume c acesta este operabil. De asemenea, e informat i de ct timp ruleaz. n schimb, Koobface C&C
instruiete serverul WEB s acioneze ca un proxy sau ca un server releu care distribuie alte componente ale
Koobface-ului. Serverul Web deservete pagina fals de YouTUbe, care va conduce la downloaderul
Koobface-ului.
Anunurile i programele antivirus false
Anunurile postate de vierme se vor conecta cu Koobface C&C, care n acel moment va da instruciuni de a
downloada un antivirus fals de pe un URL particular. De asemenea, sunt deschise ferestre noi care au abilitatea
de a posta alte anunuri i reclame false.

Sprgtoarele CAPTCHA
Aceste componente ale viermelui nu rezolv imaginile CAPTCHA cu ajutorul unor algoritmi sofisticai. De
fapt, userul computerului infectat este cel care rezolv aceste teste. Imaginile CAPTCHA care trebuiesc sparte
sunt preluate de pe unul din serverele Koobface C&C. Cnd imaginea este downloadat, este prezentat userului
cu un mesaj care l va panica, imagine reprezentat mai jos.
Timpul dinaintea stingerii computerului este cronometrat, numratoarea invers pornind de la minutul trei. n
aceste fel, userul primete un semnal de alarm cum c imaginea CAPTCHA aparut pe display-ul computerului
trebuie rezolvat n timp util, anume aceste trei minute. De fapt, dup trecerea celor trei minute, Koobface-ul nu
va inchide computerul, ci va atepta pn n momentul n care userul va rezolva testul CAPTCHA. Dupa ce
userul va rezolva testul imagine CAPTCHA, soluia va ajunge la unul din serverele Koobface C&C. Koobface
nu va verifica ntr-adevr dac solutia dat de user este corect sau nu, dar, n schimb, va implementa o expresie
simpl bazat pe soluia dat. Dac imaginea - test CAPTHCA va cere o soluie format din dou cuvinte,
Koobface-ul va verifica dac soluia numar doua cuvinte. Dac soluia dat de userul computerului afectat nu
este valid, Koobface-ul va afia un mesaj de eroare ca n imaginea alaturata.

Dac soluia dat este validat ca fiind corect, viermele Koobface va inchide fereastra de dialog CAPTCHA i
va permite userului s i continue activitatea pe computerul respectiv.
Componenta care fur date este o variant a programelor TROJ_LDPINCH, care fur ID-urile,
profilele de internet, acreditrile email, acreditrile FTP. Datele furate sunt criptate i trimise ctre
serverele Trojan C&C. n lista urmatoare sunt enumerate soft-urile care pot fi compromise
Serverul FTP
Total Commander
CuteFTP
Ipswitch
Smart FTP
Coffeecup Software
FTP Commander (Pro, Deluxe)
FlashFXP
Filezilla
Profile internet
Windows Live si profile Passport.NET
Opera
Mozilla
Email
Eudora
Becky! Internet Mail
RITLab The Bat! Email client
Microsoft Outlook si Outlook Express
Mozilla Thunderbird
Instant messengers (mesaje instant)
GAIM
ICQ
QIP
Trillian
Mail.ru Agents
 Altele
Punto Switcher
Rapidshare
Depositfiles
Megaupload
Universal Share Downloader
Rapget

Este foarte interesant faptul c acest data stealer (ho de date) este de obicei ncorporat sub forma unei
imagini JPG (.JPG), care e gzduit de o multitudine de site-uri populare, crescnd ansele ca aceasta component
s treac uor de metodele de aprare ale reelei.
Hijackers Web Search

Aceast component are abilitatea de a intercepta ntrebarile de pe Google, Yahoo, MSN, Ask sau Live
i s le redirecioneze spre portaluri dubioase, care returneaz rezultate manevrate .
Componente care modifica DNS ul
 Aceast component modific DNS-ul computerului infectat, artnd DNS-ul modificat, fals in
schimbul DNS-ului legitim. n acel moment, componenta intercepteaz website-urile pe care userul le
viziteaz i n locul acestora va servi programe malware n schimbul paginilor web legitime pe care
userul computerului infectat dorete s le viziteze. De asemenea, componenta care modific DNS-ul
computerului are capacitatea de a bloca accesul userului la anumite antivirusuri sau website-uri de
securitate.
Componentele botnet-ului Koobface datoreaz proliferarea lor continu userilor cu un
comportament des ntlnit pe reelele de socializare, i anume acela de a share-ui link-uri. ntr-un
studiu realizat de AddtoAny, oamenii care utilizeaz n prezent Facebook sau Twitter share-uiesc link-
uri mai des dect folosesc email-urile. Acest studiu ne demonstreaz c reelele de socializare au
devenit prima metoda de comunicare, mai utilizate dect email-ul sau IM.
Involuntar, Facebook a ncurajat acest trend prin drasticul redesign din martie 2009. Acest nou
design a scos n eviden statusurile updatate de pe profilele utilizatorilor. Aceste statusuri updatate de
ctre utilizatori ori de cate ori acetia doresc , includ tiri despre ncrcrile recente de poze pe profiul
userilor sau share-uirea de video-uri.
Din fericire pentru hackeri, coninuturile share-uite pe reelele de socializare sunt adesea ntalnite
pe alte site-uri ca Flickr (pentru poze) sau YouTube (pentru videoclipuri). Astfel, userii se ateapt ca
browserele sa se deschid pe pagini diferite/ n afara reelei sociale n momentul n care dau click
pentru deschiderea link-urilor share-uite.Aceste comportamente sunt perfecte pentru hackeri. Prevalena
viermelui Koobface pe reelele de socializare a cauzat destule deranjamente, care au forat deintorii de
site-uri s ia msuri serioase. n iulie 2009, cnd s-a raportat o cretere exponenial a activitii
viermelui pe Twitter, deintorii Twitter-ului au decis suspendarea temporar a conturilor afecatate,
pentru a sista rspndirea programului malware.
Viermele Koobface numr cteva componente malware care conlucreaz pentru a forma i
menine botnet-ul . Capacitatea viermelui de a se updata l face sa fie un program malware dinamic si
reprezint o adevarat ameninare. Poate afecta noi site-uri de socializare uor, prin simpla adugare a
unei componente de propagare. Ceea ce a nceput ca un program malware gndit sa se propage la
nivelul Facebook-ului si MySpace, acum afecteaz mai multe de opt site-uri de socializare, printre care
se numr i Twitter.
Koobaface i extinde updatrile sau downloadeaz alte programe malware pe un computer
afectat. Se pare c aceast capacitate este rasplatit n bani , prin implementarea unui model de plat
pay-per-install (plat pe instalare), unde deintorii altor programe malware pltesc grupul Koobface s
i instaleze programele ntr-un computer afectat deja de viermele Koobface.
De cnd majoritatea site-urilor sociale au impus anumite reguli pentru a distinge un om de o
activitate spam, cel mai probabil Koobface va fi nlocuit de o CAPTCHA , n timp ce va spam-ui un
user al unei reele de socializare. Viermele va putea face asta intr-un mod inteligent, cu ajutorul unui alt
user al crui computer a fost infectat i care va rezolva pentru el CAPTCHA, o metod uoar care nu
necesit un algoritm sofisticat de spargere a CAPTCHA sau anagajarea unui om pentru efectuarea
acestei sarcini.
Koobface utilizeaz inteligent reelele sociale, pentru a identifica la ce site-uri este membru un
user afectat, pentru a accesa conturile diferiilor useri ai reelelor de socializare i pentru a trimite
mesaje . Dupa ce a efectuat aceste verificri, Koobface doar va downloada componentele aplicabile
sistemului afectat, minimaliznd expunerea celorlate componente.
Astfel , viermele Koobface poate trimite URL-uri maliioase ctre useri fr a avea nevoie de un
cont fals pe reelele de socializare . Faptul c acest vierme are acces la contactele unui user infectat i
poate trimite ctre acestea mesaje, crete posibilitatea infectrii n mas a computerelor personelor din
mediul online.
Dei a trecut destul timp de cnd a fost descoperit prima varianta a viermelui Koobface,
programul este n continuare puternic, cu o expansiune fulminant n mediul online , pavnd cu succes
drumul unei noi generaii de programe malware mai performate, care s se mpratie i s afecteze
reelele de socializare.
 n loc de concluzii, cteva sfaturi utile adresate tuturor utilizatorilor reelelor de socializare.
Cel mai important este prevenirea infectrii computerului, nu doar pentru c exist riscul
infectrii propriului sistem, dar exist un risc la fel de mare de a infecta toate persoanele cu
care userul este prieten virtual.
De fiecare dat cnd apar mesaje dubioase, chiar dac acest mesaj este primit de la prietenii
virtuali, este bine s ne gndim la acesta ca la un potenial program malware, deci sa fim
precaui n accesarea acestor link-uri.
Folosirea unui browser de internet cu actualizrile la zi.
Nepermiterea unui browser de a deschide automat anumite fiiere Word, PDF sau alte tipuri.
Acestea este de preferat sa fie descrcate i deschise ulterior cu programele corespunztoare.
Instalarea unui firewall, care mpiedic calculatorul s rspund apelurilor de la hackeri.
Instalarea i updatarea unui antivirus este poate cea mai eficient metod. Acesta scaneaz
calculatorul i email-urile pentru detectarea viruilor, dup care i terge.
Folosirea parolelor puternice, care sunt greu de ghicit, cu cel puin 8 caractere, cu combinaii
de litere mici i majuscule, numere, caractere speciale.
Securizarea reelei wireless la domiciliu, cu folosirea unui router cu criptare.
Utilizarea pop-up bloker-ului n browser. Aceste pop-up-uri sunt ferestre mici care se deshid
peste site-urile vizitate, folosite n scop publicitar, dar de multe ori pot ascunde programe
maliioase.
Share-uirea cu atentie a fiierelor digitale, care pot expune la riscuri.