Koobface worm е вирус, заразяващ компютрите чрез съобщения в социалните мрежи, като Facebook, Twitter, Myspace и др. Съобщението е подобно на това:


Saw that video yesterday… How coulld you do succh a thing?
Sweet!! Yourr ass loooks great on thiss video!!
Wow! Is tthat reeally you in that videeo?
Funny vide0 with me
Holy shit! Are you really in this video?
Holy shit! You are on hidden camera!


В съобщението има линк. След кликването на линка излиза прозорче, което иска актуализация на Adobe Flash, а всъщност това е инсталацията на koobface. Koobface съдържа бот-компоненти, които ще му позволят да вписва други вредни кодове в бъдеще.

Симптоми в лога на TrendMicro™ HijackThis™


O4 – HKLM\..\Run: [sysldtray] c:\windows\ld15.exe
O4 – HKLM\..\Run: [pp] c:\windows\pp12.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy80.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy75.exe
O4 – HKLM\..\Run: [sysmstray] c:\windows\mstre24.exe
O4 – HKLM\..\Run: [Captcha7] rundll “C:\Program Files\captcha.dll”,captcha

Ръководство за изтриването на червея:

1. Изтеглете програмата Avenger от тук и я разархивирайте на Desktop-a.
   1) Пуснете я и копирайте текста долу в Input script Box:
   
   Drivers to delete:
   podmenadrv
   podmena
   sfxdrv
   sfx
   fioo32
   fio32

   Registry values to delete:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysldtray
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | pp
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysfbtray
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysmstray
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Captcha7

   Files to delete:
%WinDir%\ld16.exe
%WinDir%\ld15.exe
%WinDir%\ld14.exe
%WinDir%\pp14.exe
%WinDir%\pp13.exe
%WinDir%\pp12.exe
%WinDir%\pp11.exe
%WinDir%\pp10.exe
%WinDir%\bill107.exe
%WinDir%\bill105.exe
%WinDir%\bill104.exe
%WinDir%\bill103.exe
%WinDir%\freddy101.exe
%WinDir%\freddy100.exe
%WinDir%\freddy84.exe
%WinDir%\freddy82.exe
%WinDir%\freddy81.exe
%WinDir%\freddy80.exe
%WinDir%\freddy79.exe
%WinDir%\freddy78.exe
%WinDir%\freddy77.exe
%WinDir%\freddy76.exe
%WinDir%\freddy75.exe
%WinDir%\freddy74.exe
%WinDir%\freddy73.exe
%WinDir%\mstre26.exe
%WinDir%\mstre25.exe
%WinDir%\mstre24.exe
%WinDir%\mstre23.exe
%WinDir%\mstre22.exe
%ProgramFiles%\sfx\sfx.sys
%ProgramFiles%\podmena\podmena.sys
%ProgramFiles%\captcha.dll
%WinDir%\system32\drivers\fio32.sys
%WinDir%\system32\fio32.dll

   Кликнeте на Execute. Ще се появи въпрос за потвърждение на действията ви, кликнете Yes.
   Avenger ще се пусне. В процеса на работата може да има няколко рестарта на компютъра Ви.

2. Изтеглете програмата Malwarebytes’ Anti-Malware от тук
   Кликнете два пъти върху mbam-setup.exe за да започне инсталационния процес.

   • Уверете се, че има отметки на Update Malwarebytes’ Anti-Malware и Launch Malwarebytes’ Anti-Malware, след това кликнете на Finish.
   • Пуснете програмата и кликнете на Perform Full Scan, а след това кликнете на Scan.
   • Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
   • Уверете се, че на всички редове има отметки, и кликнете Remove Selected.

Ако бъдете попитани за рестарт, потвърдете че желаете вашия компютър да бъде рестартиран.

Други подобни публикации от Zapprotect:

1. Премахване на червея Conficker (Downadup или Kido)