VIRUS DE FACEBOOK

KoobFace: El virus de Facebook

Koobface, un anagrama de Facebook ("face" y "book" con el orden cambiado y "koob" es "book" al revés, "libro" en inglés), es un Gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace,hi5, Bebo, Friendster y Twitter. Koobface intenta en última instancia, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito.

Koobface se disemina enviando un mensaje mediante Facebook a las personas que son 'amigos' de la persona cuyo ordenador ha sido infectado. El mensaje contiene un asunto inocuo como (en ingles) "Paris Hilton Tosses Dwarf On The Street", "LOL", "My Friend catched [sic] you on hidden cam" y "My home video :)" seguido de un link. Después de recibido, el mensaje redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se muestra una supuesta actualización del reproductor Flash de Adobe. Si el archivo es descargado y ejecutado, el ordenador será infectado con Koobface. El virus luego comanda las actividades de navegacion, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a motores de busqueda como Google, Yahoo, Bing, y Ask.com. Algunos motores de búsqueda, incluyendo AOL Search, no son afectados por Koobface.

Algunas variantes del virus han sido identificadas:

• Net-Worm.Win32.Koobface.a, ataca a MySpace
• Net-Worm.Win32.Koobface.b, ataca a Facebook.
• WORM_KOOBFACE.DC, ataca a Twitter.
• Net-Worm.Win32.Koobface .c ataca a www.msn.com
• W32/Koobfa-Gen, ataca a Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog y Fubar.

La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:

• Descarga y ejecutar un fichero.
• Abrir una imagen.
• Actualizar el código malicioso.
• Bloquear una dirección IP.
• Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.

Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:

• www.trisem.com/achche
• www.rd040609-cgpay.com/achche
• www.upr0306.com/achche
• www.rjulythree.com/achche
• www.uthreejuly.com/achche
• www.mymegadomain03072009.com/achche

Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• %Windir%\twitty[DOS NÚMEROS].exe
• %Windir\%tw[CINCO NÚMEROS].dat

Y en el registro de Windows las siguientes claves

• Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Valor: “systwtray” = “%Windir%\twitty[TWO DIGIT NUMBER].exe”

Como eliminar y quitar el Koobface.C

Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador