20 de mayo de 2009

Koobface infecta a mis amigos de Facebook.

Koodface-worms Facebook es la red social más popular a nivel mundial actualmente y es justamente a raíz de su popularidad que cada día se centran más los ciberdelincuentes en la generación de malwares que por medio de ingeniería social afecten al mayor número de usuarios posible como lo hace el gusano W32.Koodface (Boface, koobfa)

En este caso y tal como pueden ver en la imagen de abajo, la víctima es una amiga de mi red personal de Facebook :), por lo que tuve la oportunidad de hacer las pruebas directamente con esta variante y compararla con algunas otras también de W32.Koodface (Boface, ) que han aparecido estos últimos días.

Una vez que alerté a mi amiga de la infección que tenía en su PC y que estaba distribuyendo a todos sus contactos de Facebook me pidió ayuda para desinfectar su equipo y me hizo algunas preguntas las cuales le conteste con el menor tecnicismo posible y aquí las comparto con todos ustedes.

¿Cómo me infecté con Koobface?
El bicho se trasmite por dos vías, una es la común de todos los virus, por ejemplo en un archivo adjunto en electrónicos MultiSpam, etc… pero la mayor propagación de en este caso el virus Koodface es por medio del envió de mensajes privados por Facebook y notas en el muro de tus amigos, invitándote a ver su último video o similar.

Al pulsar en el link y tal como podés ver en la imagen de abajo, te lleva a una página que imita a YouTube (pero que se llama “YuoTube”), en la que para ver el video supuestamente hay que descargar una nueva versión de Adobe Flash Player y automáticamente nos ofrece la descarga de un archivo (en este caso llamado Setup.exe) el cual es el que infecta nuestro equipo.

¿Qué es lo que hace Koobface?
En todos los casos al infectarnos este busca las cookies de las redes sociales como Facebook y MySpace para que cuando visitemos estas con nuestra cuenta, comencemos nosotros sin saberlo a distribuir el malware entre todos nuestros contactos.

En los equipos infectados se han reportado casos de Spyware donde el malware intenta recopilar datos privados de las víctimas, en otros recientes como el reportado por la gente de Panda Security hace unos días (Boface.BJ) descarga un “Falso Antivirus” y en los más comunes (como en tu caso) al ejecutar el archivo solo se nos cierra el navegador sin pasar aparentemente más nada, pero cuando realizamos cualquier búsqueda con Google todos los resultados son redirigidos por un sitio llamado “myfastfind” que en lugar de mostrarnos los resultados reales nos lleva a diferentes sitios maliciosos de su red underground que hasta nos pueden infectar con otros malwares.

¿Ok, y cómo elimino Koobface?
Al ser una infección popular tiene la ventaja que las casas Antivirus tradicionales lo siguen muy de cerca incluyendo cada nueva variante que va saliendo, pero a modo de prueba subí los archivos que este genera a Virus-Total (ej: ld08.exe, st_1242759558.exe, setup.exe) donde podemos ver que no siempre todos los detectan a tiempo.

En las pruebas realizadas en nuestro laboratorio pudimos desinfectar esta variante con la utilización de HijackThis por un lado quitando la entrada que hace referencia al archivo ld08.exe y luego ejecutando MalwareBytes en modo seguro que como muestra esta imagen se encargo del resto de Koobface.

¿Qué me aconsejás para proteger mi PC de Koobface?
Las recomendaciones son bastante generalizadas y sirven no solo para protegerte de este malware sino de la gran mayoría, donde los 5 principales puntos son:

Aunque provengan de tus contactos y amigos, siempre desconfía si el link (enlace) a visitar te lleva a un sitio externo o que no sea el original. Por ej en este caso si no te muestra el video dentro del mismo Facebook o en el YouTube original, seguramente se trate de un fraude, por lo que cierra el navegador inmediatamente. El “sentido común” es nuestra mejor protección.

Si descargas y ejecutas algún tipo de archivo, y el PC empieza a mostrar mensajes de tu equipo esta infectado, que no estás bien protegido y/o que debes de comprar un antivirus, probablemente se tratará de un engañó. Siempre pide una segunda opinión con alguno de los tantos Antivirus Online o consultado a los expertos de nuestro Foro.

Mantener nuestro sistema siempre actualizado, no sólo Windows sino también todos los programas que tengamos en nuestro PC. Esto es muy importante ya que si sabemos que nuestro sistema esta al día y al querer ver un video nos está diciendo que tenemos que actualizar Java, Flash Player o similar, sabremos que se trata de un fraude.

Utiliza un Antivirus que se actualice a diario, un Antispyware y un Firewall. En InfoSpyware podes encontrar varios muy buenos y gratuitos o si decides invertir en la seguridad de tu equipo, hoy en día hay muchas Suite de Seguridad muy completas que consumen muy pocos recursos y brindan una máxima protección.

Mantente informada sobre las tendencias de seguridad, malwares y estado general de la seguridad en Internet. No se necesita ser un experto ni saber absolutamente todo, pero si básicamente si usas mucho Facebook por ej los peligros o malwares que pueden haber en este y similar.

Surf Safely

Autor: Marcelo Rivero
Malware/IT Threats Researcher - Founder / CEO to InfoSpyware & ForoSpyware

Posts relacionados:

Comentarios

Eric // 20 de mayo de 2009

wow de veras que esta pasado eso, yo nunca uviera imaginado su propagacion por FB, pero bueno todos los dias se aprende y se ve algo nuevo =D

PD: como hasemos para agregarte al FB??
joegod // 20 de mayo de 2009

¿No conoceis ninguno de este tipo que este rondando por tuenti?
Marcelo Rivero // 21 de mayo de 2009

Hola a todos,

Para Eric: Mi cuenta de FC la uso únicamente de forma personal donde solo tengo familiares y amigos directos.

Pero para el resto de la comunidad tenemos la cuenta de
InfoSpyware en Facebook.

—–

Para joegod: Por ahora “Tuenti” no esta en la mira de los creadores de Malwares ya que en otras variantes de este mismo Koobface se apunta también a otras redes sociales como:

* facebook.com
* hi5.com
* friendster.com
* myyearbook.com
* myspace.com
* bebo.com
* tagged.com
* netlog.com
* fubar.com
* livejournal.com

Salu2
Marcelo.
AntonioG // 22 de mayo de 2009

A parte de la noticia, se me hizo curioso es que hayas colocado un gusano de Worms World Party para hacer alusión al Koobface :D
bem // 23 de mayo de 2009

Lo voy a difundir.
ester // 28 de mayo de 2009

porfa necesito ayuda porque el internet se cae cada 5 minutos y cada vez que ocupo internert me aparece firefox no encontrado pero el ares sigue funcionando porfa me pueden orientar con lo que me pasa, gracias
miguel saiz // 28 de mayo de 2009

wow eso pasa con razon ya tengo a varios que me mandan enlaces maliciosos asi mismo ya casi caia en uno pera gracias a la info de que dan aqui lo reconoci lo del flash player y otras cosas mas

esto no sirve de experiencia algo que hay que ser curiosos y tener cuidado donde uno pincha por ejemplo una imgen imgage.jpg.exe ya con ver el .exe y que pese 96 kb hay que desconfiar
no comfiar en nadie y poner contraseñas largas
Eric // 29 de mayo de 2009

Marcelo ayuda a buscarle solucion a un malware o virus con el nombre de ”DUMPLER – 0K” que lo tiene un amogo en su laptop y cada vez que activa la proteccion del nod32 este dumpler se activa y le reinicia la laptop…
Marcelo Rivero // 29 de mayo de 2009

Hola a todos,

Para @ester y @Eric: El Blog de InfoSpyware es netamente informativo, por lo que cual no brindamos soporte directo en este ya que para eso tenemos nuestro "Foro de InfoSpyware" en el cual se pueden registrar de forma gratuita y abrir un nuevo tema solicitando ayuda con su caso.

Salu2
Marcelo.
matias // 4 de junio de 2009

hola! es cierto la verdad que a mi me llegan mensajes de face book pero yo no soy afiliado al face book ni cuenta tengo yo simplemente eliminos los mensajes
HELIOS // 23 de julio de 2009

Waaa…
Increible XD!
supen que existian ese tipo de “Virus”, pero nunca supe como se “Pegaban”…
Exelente pagina.
Marcelo Rivero // 25 de julio de 2009

Gracias @Helios, nos alegramos que el sitio sea de tu agrado.

Salu2
Marcelo.
MARU // 31 de julio de 2009

Hola Marcelo, oye fíjate que me paso algo muy raro bueno mas bien me INFECTE platicando con un contacto en msn, si, fui algo burris, pero en medio de la conversación me aparecio “jaja checa esto” y un link de mercado libre, y bueno caí, ayer anduvimos desinfectando la maquina y apareció un tal lg no se que mas y lo borramos, a mi contacto con esta acción dejo de mandar links sin darse cuenta pero yo no, solo basta con que me ponga a platicar con alguien para que le mande un link, no se que virus pueda ser, ma maquina no presenta ningun problema solo eso, me puedes orientar? gracias.
MARU // 31 de julio de 2009

ah por cierto corri el msn cleaner y me aparecio una infeccion en WINDOWS/setup.exe, pero me da pavor que si lo borro me vaya a fregar la compu
ezequiel // 3 de agosto de 2009

buen aporte habra que habisar a todos lo que rondean con mi compu jajaja, haci que el facebook no tiene nadie que controle este tipos de cosas y te pueden llegar link como cuando charlas por msn, creia que podia ser haci pero tenia un poco de duda que ahora gracias a vos se me dicipo ;D, saludos!!!
Haniel // 14 de agosto de 2009

En realidad te mereces un aplauso por este tema esta genial, oye yo quería saber si puedo postear este tema en mi blog.

Gracias por todo…
Marcelo Rivero // 15 de agosto de 2009

Hola Maru,

Para que podamos ver mas en detalles tu caso si es que aun necesitas ayuda a desinfectar tu PC, te recomiendo que te pases por nuestro Foro de InfoSpyware y abras un tema ahí.

Salu2
Marcelo.
manuel // 9 de febrero de 2010

grax hermano esto es lo mejor
jose // 7 de marzo de 2010

Yo cai en la trampa y le di al enlace y descarge el archivo.He mirado soluciones por internet y me dice que borre unos archivos y unas rutas de registro de windows.Lo que pasa es que ni los archivos los tengo en el pc ni las rutas tampoco, eso quiere decir que no lo tengo infectado?Tambien me he dado de baja del facebook.Y tmb he restaurado el pc a un punto anterior a la descarga del archivo.He hecho bien o seguire con el problema?