El Koobface.C es un troyano que permite ejecutar comandos en el sistema comprometido. Roba información de “cookies” de identificación de redes sociales y se autopropaga incluyendo enlaces que los usuarios clican.
Las redes sociales suelen estar siempre en el punto de mira de los usuarios malintencionados por su facilidad de acceso y sus pocas restricciones, pero es el punto de partida para unos ataques mucho mas profundos y utilizan estos como “trampolin” para acceder a mas información.
Este es el caso del Virus Koobface.C. Se trata de un troyano que aprovecha sus funcionalidades de “puerta trasera” para acceder a los datos de diferentes redes sociales mediante las cookies de autenticacion de sitios como:
- hi5.com
- facebook.com
- netlog.com
- twitter.com
- tagged.com
- bebo.com
- myspace.com
La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:
- Descarga y ejecutar un fichero.
- Abrir una imagen.
- Actualizar el código malicioso.
- Bloquear una dirección IP.
- Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.
Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:
- www.trisem.com/achche
- www.rd040609-cgpay.com/achche
- www.upr0306.com/achche
- www.rjulythree.com/achche
- www.uthreejuly.com/achche
- www.mymegadomain03072009.com/achche
Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?
En caso de que aparezcan en tu ordenador los siguientes ficheros:
- %Windir% witty[DOS NÚMEROS].exe
- %Windir\%tw[CINCO NÚMEROS].dat
Y en el registro de Windows las siguientes claves
- Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- Valor: “systwtray” = “%Windir% witty[TWO DIGIT NUMBER].exe”
Como eliminar y quitar el Koobface.C
Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.
En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:
- Desactivar temporalmente la Restauración del Sistema.
- Reiniciar el ordenador a Modo a Prueba de Fallos.
- Con un antivirus actualizado, borre y ataque todos los archivos infectados.
- Elimine los archivos explicados en ¿Como saber si está infectado?
- En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
- Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
- Eliminar archivos temporales
- Reiniciar el ordenador
Koobface es un gusano de IRC y MultiSPAM que busca cookies de redes sociales y descarga códigos maliciosos de sitios web.
Fuente : Protegeme
Mir
Assunto anterior
Primeira 
