قریباً یکسال پس از انتشار آخرین هشدار شرکت Facebook درباره ویروس مشهور Koobface و سه سال مبارزه مستمر با این ویروس، اکنون این شرکت با ابراز خوشحالی از اینکه در ۹ ماه گذشته، هیچگونه اثری از گونه های مختلف ویروس Koobface بر روی سایت Facebook مشاهده نشده است، اقدام به انتشار جزئیات کاملی درباره عملکرد این ویروس و گردانندگان اصلی آن کرده است.

به گزارش افتانا در سال ۲۰۰۸ میلادی بود که نویسندگان ویروس Koobface پیام های دعوتی برای کاربران سایت اجتماعی Facebook برای تماشای یک ویدئو خنده دار و جذاب فرستادند که اگر بر روی پیوند (Link) ارسالی کلیک می کردید، از شما خواسته می شد که نرم افزار Adobe Flash خود را ابتدا به روز کنید. اگر فایل ارائه شده را دریافت (Download) و اجرا می کردید، به جای به روز شدن Flash، کامپیوتر خود را به ویروس Koobface آلوده کرده بودید. بر روی کامپیوتر آلوده، تبلیغ نرم افزارهای ضدویروس جعلی و بی فایده نمایش داده می شد و نتایج جستجو (Search) بر روی این کامپیوترها به سایت های تبلیغی خاص هدایت می شد. در اوج فعالیت ویروس Koobface، برآورد شده بود که حدود ۴۰۰ الی ۸۰۰ هزار کامپیوتر آلوده وجود دارد.

کارشناسان Facebook، با همکاری شرکت های امنیتی نظیر McAfee و Sophos، شرکت مایکروسافت و مقامات قضایی و امنیتی دولت آمریکا، تحقیقات و بررسی های گسترده ای را آغاز کردند و به تدریج توانستند تصویر کاملی از نحوه عملکرد ویروس Koobface و هویت گردانندگان اصلی آن به دست آورند.

کامپیوترهای آلوده به ویروس Koobface از طریق یک سرور فرماندهی، مدیریت و کنترل می شد. گردانندگان ویروس مرتکب دو اشتباه بزرگ شدند. آنها ابتدا گزینه “mod_status” را روی سرور تحت وب فعال کرده بودند. این گزینه به هر بازدید کننده ای اجازه نمایش درخواست های ارسالی به سرور را می داد و لذا نام فایل ها و شاخه های روی سرور کاملاً آشکار بود. وقتی آنان این اشتباه اول خود را اصلاح کردند، اشتباه دوم خود را مرتکب شدند. آنان یک نرم افزار آمار، برای جمع آوری اطلاعات روی سرور نصب کردند به نحوی که برای هر فردی قابل دسترسی بود و بدین ترتیب امکان کشف دقیق تر و آسان تر فعالیت های مخرب ویروس Koobface فراهم شد.

با شناسایی نشانی IP سرور فرماندهی و ارتباط دادن آن به یک شرکت سرویس دهنده خدمات اینترنت در جمهوری چک، هویت خریداران سرور کشف شد. چهار نفر که گروه خود را “علی بابا و ۴″ معرفی می کردند، نتایج جمع آوری شده توسط نرم افزار آمار را روزانه به صورت پیامک از سرور فرماندهی دریافت می کردند. شماره تلفن هایی که پیامک برای آنها ارسال می شد، محل زندگی و فعالیت این افراد را مشخص کرد.

گردانندگان ویروس Koobface نام های مستعاری برای خود دارند که از این نام ها در سایت های اجتماعی هم استفاده می کنند، با دنبال کردن این نام ها بر روی سایت های اجتماعی و دسترسی به اطلاعات شخصی و عکس های خانوادگی آنها از طریق دوستان آنها بر روی این سایت ها، انبوهی از اطلاعات دقیق درباره این پنج فرد خلافکار جمع آوری شد.

پنج نفر گرداننده اصلی ویروس Koobface در یک دفتر کوچک در شهر سن‏پطرزبورگ روسیه تشکیلات خود را اداره می کنند. این افراد به راحتی و به طور علنی رفت و آمد می کنند. متاسفانه به دلیل عدم همکاری و پیگیری های لازم توسط مسئولان برخی کشورها برای تحت تعقیب قرار دادن و مجازات خلافکاران سایبری، این پنج نفر نیز فعلاً با کسب درآمدهای میلیون دلاری از فروش نرم افزارهای ضدویروس جعلی و بی ارزش به کاربران نا آگاه، یک زندگی مرفه و آزادانه دارند.

گرچه سرور فرماندهی Koobface منهدم و از کار افتاده است و ابزارهای امنیتی جدیدی در سایت Facebook برای مقابله با چنین ویروس هایی به کار گرفته شده است ولی این ویروس همچنان به حیات خود در محیط های دیگر بر روی اینترنت ادامه می دهد.

شرکت Facebook امیدوار است با انتشار این اطلاعات، به دیگر شرکت ها و مقامات مسئول در کشورهای مختلف جهان برای مبارزه و ریشه کنی کامل ویروس Koobface کمک کرده باشد.