I fredags identifierade säkerhetsanalytiker en av servrarna bakom botnätet och masken Koobface. Servern skickade instruktioner till datorer som hade infekterats av Koobface.

Nart Villeneuve, som är säkerhetsanalytiker på Secdev Group, larmade den brittiska operatören Coreix om att den hade infekterade konton i sina system. Även Facebook och Google fick tips om att de hade mängder av falska användarkonton

– Servern var en av tre Koobface-system som nu har stängts ned. Alla tre befinner sig i samma nätverk och är oåtkomliga just nu , säger Nart Villeneuve till IDG News.

Offren lurades bland annat från Facebook till Google Blogspot och därifrån till webbservrar med skadlig kod. De lockades med videosnuttar på Youtube, som krävde att de laddade ned mjukvara, som bestod av Koobface.

Koobface är dels en mask som infekterar offrens Facebook-konto, dels består det av botnät-kod som ger hackare möjlighet att fjärrstyra offrens datorer.

Forskarna har bland annat hittat en central server, "the mothership", som användes för att hålla koll på konton. Servern skickade dagligen meddelanden till fyra ryska mobilnummer om hur mycket pengar som hade strömmat in.

Nedstängningen sätter bara tillfälligt stopp för Koobface. Datorerna som som har infekterats av Koobface är anslutna till mellanservrar, oftast webbservrar som har fått sina funktioner för filöverföring, ftp, infekterade.

Exakt var ligan bakom Koobface befinner sig är oklart, men Villeneuve tror att en av medlemmarna bor i Sankt Petersburg.

Fakta

Ligan bakom Koobface har enligt Villeneuve lurat till sig över två miljoner dollar, genom bland annat falska onlineannonser och antivirusprogram. Ligan använde hackade datorer för att registrera falska konton på Gmail, Blogspot och Facebook, samt för att stjäla lösenord till ftp-konton. Totalt ska ligan ha upprättat 20 000 falska Facebook, samt en halv miljon falska Gmail- och Blogspot-konton, vid sidan om tusentals ftp-konton till servrar.