Español | English
rss facebook linkedin Twitter

Virus Social

Hola querido lector.

Este post va a tratar sobre el famoso virus que se ha extendido a través de las redes sociales Facebook y MySpace. Gusanos, troyanos, virus, malware en general sabemos que todos los días aparecen infinidad de ellos, y de sobra son conocidas las medidas de sentido común para evitar en lo posible ser infectado por ellos.

Lo novedoso, o no tanto, es cambiar la forma de expansión de este malware, por un lado todos conocemos la peligrosidad de ciertos adjuntos en el correo electrónico, ¿quién no recuerda el "I love you"?, también sabemos de lo peligroso que puede ser navegar por ciertas URL's sospechosas o comprometidas - sin conocimiento del propietario de los contenidos- y que aprovechan todas las vulnerabilidades posibles para infectar a usuarios, desde las del propio sistema hasta al desconocimiento del propio usuario.

Estos días se han utilizado las famosas redes sociales y su enorme repercusión y difusión, y aunque ya se ha escrito mucho sobre él, más vale comentarlo por si alguien no se había enterado todavía.
Un ejemplo de mensaje enviado es este (¡recordad, no seguir el enlace!!!!:)

Asunto: tua foto?!!

"es este tu foto?!
http://www.facebook.com/l/6ffa7;readinfo163178191351372640.sendzsafez.info/gp735tq/
Ten cuidado!!!"


Este malware es: Koobface, según comentan en esta fuente. Su funcionamiento es bastante sencillo:
  1. El usuario pincha en el enlace del vídeo
  2. Aparece un pop-up requiriendo que el usuario actualice el Adobe Flash player
  3. El usuario acepta la instalación del malware y queda infectado.
Para solucionarlo se debería tener el antivirus actualizado, existen foros donde además de las explicaciones aparecen las trazas de un antivirus que ayudan a identificar qué ficheros y entradas de registro se han visto comprometidas, como este ejemplo extraído de este enlace:

Malwarebytes' Anti-Malware 1.40
Versión de la Base de Datos: 2551
Windows 5.1.2600 Service Pack 2 (Safe Mode)

03/09/2009 0:27:50
mbam-log-2009-09-03 (00-27-01).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 158472
Tiempo transcurrido: 16 minute(s), 55 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 5
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 10

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{x9obc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{76086c05-4d0a-4b92-9219-2e3fe8c553f9} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{76086c05-4d0a-4b92-9219-2e3fe8c553f9} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\advantage (Adware.Vomba) -> No action taken.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\advantage (Adware.Agent) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Documents and Settings\-Carlos-\Datos de programa\advantage (Adware.Vomba) -> No action taken.

Ficheros Infectados:
C:\Documents and Settings\-Carlos-\Datos de programa\advantage\AdVantage.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\-Carlos-\Datos de programa\advantage\AdVUninst.exe (Adware.Agent) -> No action taken.
C:\Program Files\Lineage II\system\fire.dll (Malware.Packer.T) -> No action taken.
C:\Documents and Settings\-Carlos-\Datos de programa\advantage\about_AdVantage.mht (Adware.Vomba) -> No action taken.
C:\Documents and Settings\-Carlos-\Datos de programa\advantage\advantage.cfg (Adware.Vomba) -> No action taken.
C:\Documents and Settings\-Carlos-\Datos de programa\advantage\advantage.mht (Adware.Vomba) -> No action taken.
C:\WINDOWS\freddy61.exe (Worm.KoobFace) -> No action taken.
C:\Documents and Settings\-Carlos-\Menú Inicio\Programas\IE AntiVirus 3.3.lnk (Rogue.IEAntiVirus) -> No action taken.
C:\WINDOWS\pp11.exe (Worm.KoobFace) -> No action taken.
C:\WINDOWS\ld14.exe (Worm.KoobFace) -> No action taken.

En las redes sociales también se han hecho eco de la noticia y de la repercusión y se han creado grupos de alerta y concienciación (algunos más graciosos que otros) para que el usuario de estas redes no se vea perjudicado. Como ejemplo estos dos enlaces:

Como siempre, tened cuidado, sed cuidadosos y no confiéis en exceso, vamos, las normas de siempre, porque las mafias siempre buscarán nuevos métodos de propagar su malware al mayor número de usuarios.

José María Arce Guillén
S21sec e-crime





2 comentarios:

José M dijo...

gracias por la información :)

Nortonfanclub dijo...

Interesante tema....
Nosotros hemos escrito también sobre él. Te paso el link:

http://www.nortonfanclub.com/?p=64


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login