Perusahaan keamanan internet Kaspersky Lab memperingatkan adanya gelombang serangan Koobface, sebuah worm yang sangat produktif menginfeksi situs jejaring sosial. Sasaran program jahat ini adalah situs-situs seperti Facebook dan Twitter. Program-program jahat tersebut juga menggunakan website sah yang dikompromikan sebagai perwakilan untuk komando dan kontrol utama server.
Selama dua minggu terakhir ini, para tim peneliti Kaspersky Lab telah mengamati server Koobface live C&C dimatikan atau dibersihkan rata-rata tiga kali per hari. Jumlahnya terus menurun, dari 107 pada tanggal 25 Februari, ke level 71 pada tanggal 8 Maret. Kemudian, hanya dalam 48 jam jumlah tersebut berkembang dari 71 menjadi 142, menaikkan jumlah totalnya tepat dua kali lipat, dimana semua komputer yang terinfeksi Koobface mendapatkan perintah dan update dari jarak jauh.
Infrastruktur komando dan kontrol Koobface dapat diamati ketika melihat evolusi dari lokasi geografis alamat IP yang digunakan untuk berkomunikasi dengan komputer yang terinfeksi. Penggunaan C&C server meningkat terutama di Amerika Serikat, dari 48 persen menjadi 52 persen. Saat ini, lebih dari setengah server Koobface C&C memiliki host di AS, jauh melebihi negara-negara lain.
"Kejadian baru-baru ini memberikan kami beberapa indikasi tentang bagaimana geng Koobface menangani infraksturkturnya," ujar Stefan Tanase, Senior Regional Researcher, Kaspersky Lab EEMEA, dalam keterangannya, Senin (15/3/2010).
Disimpulkan bahwa pejahat dunia maya secara terus-menerus memantau status infrastrukturnya. Mereka tidak ingin jumlah server C&C turun terlalu banyak karena itu berarti kehilangan kendali atas botnet. Ketika jumlah server C&C aktif turun ke tingkat kritis, mereka sepertinya siap mengimplementasikan lusinan server C&C yang baru.
Jumlah total server Koobface C&C selalu berfluktuasi, mulai lebih dari seratus sampai kurang dari seratus dan kembali lagi hanya dalam hitungan minggu. Tampaknya ketika 100 server C&C online, geng Koobface akan merasa lebih santai.
Mereka juga lebih memilih untuk mendistribusikan server C&C mereka ke seluruh dunia dengan ISP yang berbeda, untuk membuat take-down process lebih sulit. Namun, sebagian besar server Koobface C&C berada di US.