|
W32/Koobface
Koobface es un gusano reportado el 04 de Agosto del 2008, que se propaga a través de diversos servicios de Internet, como el IRC (Internet Chat Relay) o correos MultiSPAM.Busca la presencia de archivos o cookies relacionados a las redes sociales MySpace, Facebook y otras. En caso hallaralas altera la configuración del navegador haciéndolo conectarse a sitios web desde los cuales descargará malwares.
Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 16,652 bytes.
Una vez ingresado al sistema, se copia al directorio %Windir% como mstre6.exe y libera el siguiente archivo para ser usado como marcador de infecciones:
C:\%Windir%\tmark2.dat
para activarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\%Windir%\Current Version\Run]
"systray" = "%Windir%\mstre6.exe"
%Windir% es
una variable que corresponde a C:\Windows en
Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
Al siguiente inicio del equipo muestra la siguiente falsa caja de diálogo:
y al hacer click en "OK" borra la siguiente llave de registro:
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating]
luego busca la presencia de cookies de las redes sociales MySpace, Facebook y otras.
En caso de no hallarlas se borra así mismo, en caso de que las encuentre modifica la configuración del %UserProfile% agregándoles enlaces a sitios web, desde los cuales descargará un gusano, que simula ser un codec multimedia.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP
PER ANTIVIRUS® versión X6 con registro de virus al 04 de Agosto del 2008 detecta y elimina este gusano.
