Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Koobface.FU realiza las siguientes acciones:
- Poco después de ser ejecutado, muestra un mensaje en pantalla como el siguiente:
- Este mensaje informa al usuario de que tiene que introducir una serie de caracteres y le amenaza con reiniciar el ordenador cuando pasen 3 minutos.
- Pasado este tiempo, el ordenador no se reiniciará, pero si no se introducen los caracteres, el mensaje permacerá en pantalla y el ordenador se quedará bloqueado hasta que el usuario introduzca los caracteres.
- Si el usuario introduce los caracteres correctamente, podrá continuar trabajando con normalidad. Sin embargo, al cabo de un tiempo volverá a mostrar un mensaje similar.
- Se conecta a la siguiente página web http://prueba.plain<bloqueado>t.com/.sys/?getexe=%nombre del archivo que se va a descargar% desde la que descarga una serie de archivos que corresponde a otras variantes del Koobface.
Metodo de Infección
Koobface.FU crea el archivo LD14.EXE, en el directorio de Windows. Este archivo es una copia del gusano.
Además, crea los siguientes archivos:
- CAPTCHA.DLL, en el directorio Archivos de programa.
- FREDDY72.EXE y RDR_1257313904.EXE, en el directorio de Windows.
- V2CAPTCHA[1].EXE, en la ruta C:\Documents and Settings\%nombreusuario%\Configuración local\Archivos temporales de Internet\Content.IE5
donde %nombreusuario% es el nombre de usuario del usuario que haya iniciado sesión.
Koobface.FU crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Captcha7 = C:\Archivos de programa\captcha.dll,captcha - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Sysfbtray = %windir%\freddy72.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Sysldtray = %windir%\ld14.exe
donde %windir% es el directorio de Windows.
Mediante estas entradas, Koobface.FU consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
tp
Método de Propagación
Koobface.FU se propaga a través de la red social Facebook intentando afectar al mayor número de ordenadores posible.
Otros Detalles
Koobface.FU tiene un tamaño de 77312 Bytes.