Засилена активност на червея Koobface засякоха от антивирусната компания Лаборатория Касперски. Зловредната програма поразява популярни социални мрежи като Facebook и Twitter и използва превзетите сайтове като собствени командни сървъри.
В последните дни сървърите на Koobface са били забранявани или лекувани по три пъти в денонощие, показват наблюденията на Касперски. Това са машини, които се използват за отдалечено разпращане на команди и обновяване на всички компютри, заразени от червея.
Първоначално броят на командните сървъри започна да намалява. Към 25 февруари те бяха 107, а на 8 март паднаха до 71. След това обаче само за две денонощия броят им нарасна двойно, достигайки 142, след което отново намаля на 79. В близко време се очаква поредният ръст, прогнозират от Касперски.
Проследяването на броя на командните сървъри Koobface е възможно на базата на географското разпределение на IP адресите, чрез които се извърша обмен на информация със заразените компютри. Данните показват, че делът на подобни сървъри, намиращи се в САЩ, се е увеличил от 48% до 52%.
Касперски разкрива по какъв начин кибер престъпниците управляват инфраструктрите, базирани на червея Koobface. Според експертите, те са заинтересовани броят на командните сървъри да не пада под определено ниво, за да не загубят контрол над ботнета.
Когато броят на машините стане критично малък, хакерите въвеждат в действие десетки нови сървъри. Това обяснява колебанията в рамките само на едно денонощие.
Досегашните наблюдения показват, че за оптимално ниво се считат 100 броя командни сървъри. Кибер престъпниците предпочитат също мрежата от сървъри да бъде разпределена между доставчици по целия свят, тъй като подобен подход осигурява по-голяма стабилност на бот мрежата.