Koobface worm заражает компьютеры через сообщения в социальных сетях Facebook, Twitter, Myspace и др. Само сообщение имеет примерно такой вид:
Sweet!! Yourr ass loooks greaat on thiss video!!
WWow! Is tthat reeally you in thaat videeo?
Funny vide0 with me
HHolly sshit! Are you rreally in thiss viideo?
Hollyy shhit! You are on hiidden cameera!
Сообщение содержит ссылку. После перехода по ссылке выскакивает сообщение с предложением обновить adobe flash, хотя на самом деле это инсталлятор червя koobface. Koobface содержит бот-компоненты, которые позволят проводить загрузку и установку других вредоносных кодов в будущем.
Симптомы в логе HijackThis
O4 – HKLM\..\Run: [sysldtray] c:\windows\ld15.exe
O4 – HKLM\..\Run: [pp] c:\windows\pp12.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy80.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy75.exe
O4 – HKLM\..\Run: [sysmstray] c:\windows\mstre24.exe
O4 – HKLM\..\Run: [Captcha7] rundll “C:\Program Files\captcha.dll”,captcha
Инструкция по удалению червя:
1. Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:
Drivers to delete:
podmenadrv
podmena
sfxdrv
sfx
fioo32
fio32
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysldtray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | pp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysfbtray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysmstray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Captcha7
Files to delete:
%WinDir%\ld16.exe
%WinDir%\ld15.exe
%WinDir%\ld14.exe
%WinDir%\pp14.exe
%WinDir%\pp13.exe
%WinDir%\pp12.exe
%WinDir%\pp11.exe
%WinDir%\pp10.exe
%WinDir%\bill107.exe
%WinDir%\bill105.exe
%WinDir%\bill104.exe
%WinDir%\bill103.exe
%WinDir%\freddy101.exe
%WinDir%\freddy100.exe
%WinDir%\freddy84.exe
%WinDir%\freddy82.exe
%WinDir%\freddy81.exe
%WinDir%\freddy80.exe
%WinDir%\freddy79.exe
%WinDir%\freddy78.exe
%WinDir%\freddy77.exe
%WinDir%\freddy76.exe
%WinDir%\freddy75.exe
%WinDir%\freddy74.exe
%WinDir%\freddy73.exe
%WinDir%\mstre26.exe
%WinDir%\mstre25.exe
%WinDir%\mstre24.exe
%WinDir%\mstre23.exe
%WinDir%\mstre22.exe
%ProgramFiles%\sfx\sfx.sys
%ProgramFiles%\podmena\podmena.sys
%ProgramFiles%\captcha.dll
%WinDir%\system32\drivers\fio32.sys
%WinDir%\system32\fio32.dll
Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
2. Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
Откройте вкладку Сканер, и кликните по кнопке Проверить.
После сканирования кликните Показать результаты и вам будет показан результат сканирования.
Кликните по кнопке Удалить выделенные.
Ассоциации файлов и директорий:
%WinDir%\ld16.exe
%WinDir%\ld15.exe
%WinDir%\ld14.exe
%WinDir%\pp13.exe
%WinDir%\pp12.exe
%WinDir%\pp11.exe
%WinDir%\pp10.exe
%WinDir%\bill105.exe
%WinDir%\bill104.exe
%WinDir%\bill103.exe
%WinDir%\freddy100.exe
%WinDir%\freddy77.exe
%WinDir%\freddy76.exe
%WinDir%\freddy75.exe
%WinDir%\freddy74.exe
%WinDir%\freddy73.exe
%WinDir%\mstre24.exe
%WinDir%\mstre23.exe
%WinDir%\mstre22.exe
%WinDir%\system32\drivers\fio32.sys
%WinDir%\system32\fio32.dll
c:\program files\sfx\sfx.sys
c:\program files\podmena\podmena.sys
%WinDir%\system32\drivers\fio32.sys
%WinDir%\system32\fio32.dll
Ассоциации ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmstray