Las redes sociales suelen estar siempre en el punto de mira de los usuarios malintencionados por su facilidad de acceso y sus pocas restricciones, pero es el punto de partida para unos ataques mucho mas profundos y utilizan estos como “trampolin” para acceder a mas información.

Este es el caso del Virus Koobface.C. Se trata de un troyano que aprovecha sus funcionalidades de “puerta trasera” para acceder a los datos de diferentes redes sociales mediante las cookies de autenticacion de sitios como:

• hi5.com
• facebook.com
• netlog.com
• twitter.com
• tagged.com
• bebo.com
• myspace.com

La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:

• Descarga y ejecutar un fichero.
• Abrir una imagen.
• Actualizar el código malicioso.
• Bloquear una dirección IP.
• Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.

Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:

• www.trisem.com/achche
• www.rd040609-cgpay.com/achche
• www.upr0306.com/achche
• www.rjulythree.com/achche
• www.uthreejuly.com/achche
• www.mymegadomain03072009.com/achche

Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• %Windir% witty[DOS NÚMEROS].exe
• %Windir\%tw[CINCO NÚMEROS].dat

Y en el registro de Windows las siguientes claves

• Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
• Valor: “systwtray” = “%Windir% witty[TWO DIGIT NUMBER].exe”

Como eliminar y quitar el Koobface.C

Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Koobface es un gusano de IRC y MultiSPAM que busca cookies de redes sociales y descarga códigos maliciosos de sitios web.

Fuente : Protegeme

Mir