A Koobface féreg legújabb variánsa ezúttal a Twitter felhasználóit vette célba, miközben megpróbálja teljesen kiszolgáltatottá tenni a PC-ket a támadásokkal szemben.

A Koobface.C leginkább olyan Twitter weboldalakról kerülhet rá a számítógépekre, amelyeket előzőleg a kártékony program terjesztői erre felkészítettek. Az Isidor Biztonsági Központ szerint a féreg célja kettős. Egyrészt megpróbál olyan weboldalakhoz tartozó bizalmas információkat megszerezni, mint amilyen például a hi5.com, a facebook.com, a twitter.com, a bebo.com és a myspace.com. Az ezekhez tartozó, böngészők által eltárolt cookie-kat elküldi a támadók számára.

A Koobface.C másik célja, hogy egy hátsó kaput nyisson a fertőzött számítógépeken. Amennyiben ez sikerül számára, akkor a támadók az érintett rendszereken a következő műveleteket hajthatják végre:
- fájlok letöltése és futtatása
- képek megnyitása
- a féreg frissítése
- IP-címek blokkolása
- üzenetek küldése a Twitteren keresztül.

Amikor a Koobface.C féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\twitty[két számkarakter].exe
%Windir\%tw[öt számkarakter].dat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"systwtray" = "%Windir%\twitty[.].exe"

3. Nyit egy hátsó kaput.

4. Csatlakozik előre meghatározott távoli szerverekhez.

5. A következő közösségépítők által létrehozott cookie-kat elküldi a támadók számára
hi5.com
facebook.com
netlog.com
twitter.com
tagged.com
bebo.com
myspace.com

6. Várakozik a támadók parancsaira, akik a hátsó kapun keresztül különböző műveleteket hajthatnak végre.

A hír megjelenését a biztonságportál támogatta.