Z pierwszych analiz wynika, że nowa wersja Koobface również rozprzestrzenia się głównie w serwisie Facebook - ale potrafi ona także wykradać loginy i hasła do MySpace'a, Friendstera, LiveJournal oraz kilku innych stron społecznościowych.

"To znacznie unowocześnione wydanie, z kilkoma interesującymi nowymi funkcjami" - mówi Jamz Yaneza, specjalista z firmy Trend Micro. Sposób rozprzestrzeniania się szkodnika nie zmienił się - robak wysyła do użytkowników serwisu społecznościowego zaproszenie do kontaktu - kliknięcie na zawarty w nim link powoduje wyświetlenie stronu z komunikatem o błędzie związanym z obsługą flasha. Użytkownik dowiaduje się, że do poprawnego wyświetlenia strony niezbędne jest zainstalowanie nowej wersji Flash Playera - oczywiście, zamiast tego programu w systemie Windows instalowany jest robak.

Gdy już Koobface.az (tak ochrzczono nowe wydanie) zainfekuje komputer, zaczyna przeszukiwać twardy dysk - szuka na nim plików cookie, w których zawarte są dane niezbędne do zalogowania się do różnych popularnych serwisów społecznościowych. Później "szkodnik" sprawdza listę znajomych (w Facebooku) użytkownika komputera i wysyła do nich wszystkich swoje kopie.

Pełna lista serwisów, których loginy i hasła próbuje przechwycić robak, liczy 10 pozycji - to: Bebo.com, Facebook, Friendster, fubar.com, hi5.com, LiveJournal, MySpace, myYearbook, Netlog oraz Tagged.

Co ciekawe, z analiz przeprowadzonych przez Trend Micro wynika, że przez większość czasu robak nie działa samodzielnie - większość wykonywanych przez niego operacji jest w czasie rzeczywistym nadzorowana ze zdalnego serwera (dotyczy to m.in. wysyłania wiadomości z kopią robaka).

Eksperci z firmy wykryli ponad 300 aktywnych adresów IP, z którymi komunikuje się robak w celu pobrania instrukcji - większość z tych serwerów znajduje się w Azji. Komputery te są stopniowo blokowane lub wyłączane przez firmy i instytucje zajmujące się bezpieczeństwem - ale wiele z nich wciąż działa. "Chwilowo trudno nam ocenić, w jakiej fazie aktywności jest ten robak - liczba infekcji jest w sumie niewielka, ale cały czas rośnie. A do tego dołożyć należy stosunkowo dużą liczbę serwerów kontrolujących kopie robaka..." - mówi Yaneza.

Warto wspomnieć, że Koobface.az nie jest jednym aktywnym obecnie złośliwym programem atakującym użytkowników Facebooka - od kilku dni dociera do nich również fałszywy komunikat o naruszeniu zasad korzystania z serwisu. W rzeczywistości jest to szkodliwy program, gromadzący informacje o użytkownikach.

Zdaniem Yanezy, to nie jest zbieg okoliczności - to raczej dowód, że przestępcy zaczynają postrzegać Facebooka jako godny zainteresowania cel ataków. Ekspert twierdzi, że w przyszłości możemy spodziewać się zwiększenia liczby podobnych incydentów. "Użytkownicy muszą bardzo uważnie przyglądać się wszystkim podejrzanym wiadomościom oraz weryfikować wszystkie aplikacje czy plug-iny przed zainstalowaniem. Warto też zastanowić się, czy w rozsądny sposób korzystamy z serwisów społecznościowych - np. czy nie udostępniamy tam zbyt wielu cennych informacji. Przestępcy tylko czekają, by je wykorzystać przeciw nam..." - tłumaczy specjalista.