Worm använder Google till Squirm Around Facebook

Ett skadligt program som sprängde upp på Facebook.com i slutet av juli har dykt upp igen, den här gången med Googles webbplatser att smyga runt säkerhetsfilter.

På tisdag noterade forskare vid en enhetlig hot management-leverantör Fortinet att en Program som liknar Koobface-masken hade börjat använda Google Reader och Picasa-webbplatser för att sprida sig. I attacken värd kriminella bilder som ser ut som YouTube-videor på Googles webbplatser i hopp om att lura offer för att ladda ner skadlig trojansk programvara.

Hackers släppte i början Koobface i slutet av juli, men Facebooks säkerhetsteam minskade snart spridningen genom att blockera webben

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det har lett till att brottslingar ändrar taktiken, enligt Guillaume Lovet, en senior forskningschef med Fortinet. I den senaste attacken har de hostat filer som verkar vara YouTube-videor på Picasa och Google Reader och använde Facebook för att skicka dem till offer.

Länkarna är säkra på att de går till Google.com-webbplatser, men när offret anländer På Google Reader eller Picasa-sidan uppmanas han att klicka på en video eller en webblänk. Offret berättas då att han behöver ladda ner speciell codec dekomprimeringsprogram för att kunna se videon. Den programvaran är faktiskt ett skadligt Trojan Horse-program, vilket blockeras av de flesta antivirusprogram, enligt Facebook.

Lovet anser att de cyberkriminella bakom Koobface har avsiktligt felstavade sina Facebook-meddelanden för att hjälpa dem att undvika detektering med hjälp av filter. > "Sommaren uppgraderar en video med dig på utubee." Du läser ett meddelande.

Lovet har inte sett den senaste attacken använder den självkopierande maskekoden som Koobface använde i augusti, men det kunde lätt läggas till, sade han.

Facebook samarbetar med Google för att stänga av problemet, säger Facebook-talesman Barry Schnitt.

Koobface har varit ett toppsäkerhetsproblem på Facebook sedan juli. "Det har varit ute där ständigt," sa Schnitt, "men det har uppstått lite mer nyligen."

Ormens skapare har använt andra knep för att försöka kringgå Facebook-filter, tillade han. De har använt Facebooks snabbmeddelandefunktion och värd även sina skadliga länkar på webbplatser som Tinyurl.com och Bloglines.

Ingen vet hur utbredd den här skadliga programmen verkligen är, men när Koobface först uppträdde på scenen sa Facebook att det påverkar mindre än 0,02 procent av användarna. Facebook har mer än 110 miljoner användare 0,002 procent av det skulle representera 220 000 användare.

Säkerhetsexperter har länge varnat för att web 2.0-mash-up-modellen för att tillåta användare att sätta samman sitt eget innehåll från många olika källor skapar naturligtvis många säkerhetsproblem. Delvis beror det på att det är möjligt för någon att skicka material på tillförlitliga domäner som Google.com.

"Jag tror att du kommer att se mer av det här sakerna händer", säger Petko Petkov, en säkerhetsforskare med GNUCitizen. > Med företagets intranät som antar ny teknik som blogging och Wikis, anser Petkov att företagsmål snart kan vara mogna för attack. "Om du har en mask i ett företag som fungerar på samma sätt som masken på Facebook, har du ett stort problem."