Virus Koobface.C

El Koobface.C es un troyano que permite ejecutar comandos en el sistema comprometido. Roba información de “cookies” de identificación de redes sociales y se autopropaga incluyendo enlaces que los usuarios clican.

Las redes sociales suelen estar siempre en el punto de mira de los usuarios malintencionados por su facilidad de acceso y sus pocas restricciones, pero es el punto de partida para unos ataques mucho mas profundos y utilizan estos como “trampolin” para acceder a mas información.

Este es el caso del Virus Koobface.C. Se trata de un troyano que aprovecha sus funcionalidades de “puerta trasera” para acceder a los datos de diferentes redes sociales mediante las cookies de autenticacion de sitios como:

  • hi5.com
  • facebook.com
  • netlog.com
  • twitter.com
  • tagged.com
  • bebo.com
  • myspace.com

La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:

  • Descarga y ejecutar un fichero.
  • Abrir una imagen.
  • Actualizar el código malicioso.
  • Bloquear una dirección IP.
  • Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.

Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:

  • www.trisem.com/achche
  • www.rd040609-cgpay.com/achche
  • www.upr0306.com/achche
  • www.rjulythree.com/achche
  • www.uthreejuly.com/achche
  • www.mymegadomain03072009.com/achche

Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

  • %Windir%\twitty[DOS NÚMEROS].exe
  • %Windir\%tw[CINCO NÚMEROS].dat

Y en el registro de Windows las siguientes claves

  • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Valor: “systwtray” = “%Windir%\twitty[TWO DIGIT NUMBER].exe”

Como eliminar y quitar el Koobface.C

Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador

2 respuestas

  1. IRONICO:

    hola a todos, yo tengo una variante de este virus, el cual se transmite al abrir el chat de facebook y se auto manda una link de una pagina, que al ejecutarlo te infectas, por ende tu ordenador se vuelve lento y al abrir cualquier buscador te enlaza a otros sitios que tu desconoces, necesito ayuda como lo puedo eliminar y/o con que antivirus le puedo dar mate, pues llevo 3 dias completos intentando elminarlo de un ordenador que no puedo formatear por cuastiones de trabajo. espero me puedan ayudar saludos.

    nota: las intrucciones que manejan lineas arriba ya las lleve a cabo y nada.

    Escrito en 2nd febrero 2011 a las 19:00

  2. Sherton Gibb:

    Amigo detén el programa y lo desinstalas, despues usa una herramienta llamada CCleaner eso deberia de funcionar el CCleaner lo que hace es quitar los datos completamente del Registro. Esta es la Facil.

    Ahora viene la “dura”. En el command prompt escribes regedit vas a entrar al Regedit o Registro del sistema. CUIDADO! Solo irse a esta
    carpeta:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

    despues ve y busca el koobface y eliminas la carpeta. te sales de ahi. y vuelves a pasar el CCleaner, para que ya No lo tengas mas, y Bye,bye troyano.

    Tambien puedes usar algub troyan killer o el Malware Killer. eso deberia de funcionar.
    Son tantas opciones que TU decides como hacerlo.

    Saludos desde Costa Rica.

    Escrito en 4th junio 2013 a las 19:15

Deje un comentario