¿Como funciona internamente el virus de la policia?

crazykenny · 11 Noviembre 2013, 18:51 PM

Hola; el caso es que, bueno, quisiera preguntar una cosa, asi, solo por pura curiosidad, nada mas, si no es molestia, claro esta.
Entonces, a ver, bueno, la pregunta en si es, bueno, mas que nada saber como funciona "internamente" el virus de la policia; ya sabeis, mas o menos, que funciones realiza "internamente" el virus de la policia y demas cosas.
Muchas gracias por vuestra atencion.
Saludos.

paulagarcum · 11 Noviembre 2013, 20:31 PM

Está bien la cuestión que planteas. Igual para ello sería conveniente hacerse con el ejecutable y analizarlo. O en su defecto mirar alguna descripción técnica de alguna casa AV o similar, aunque mucho no ponen ni explican, la verdad.

Siguiendo con lo que preguntabas, a mí ya puestos, me intriga cómo puede hacer para que al reiniciar no se pueda entrar con F8 en modo seguro al sistema.

Sé que en Windows XP (y quizás 9X) es modificando unas claves en el registro. Pero esas claves están protegidas en Windows Vista, 7, 8. Luego entonces parece que no lo hace así por registro en esas versiones del SO.

¿Cargará algún driver? ¿? Que yo sepa, o imagine, es un malware en Ring3 sólo ¿no?
Por cierto no es ningún virus. Es un troyano.

crazykenny · 11 Noviembre 2013, 20:43 PM

Cita de: paulagarcum en 11 Noviembre 2013, 20:31 PM
Por cierto no es ningún virus. Es un troyano.

Muchas gracias por la aclaracion, y, bueno, por otra parte, una cosa curiosa que me paso cuando se me metio el virus de la policia en el portatil que tiene instalado windows XP, es que, bueno, solo me aparecia cuando conectaba el ordenador a internet, y, bueno, esto no lo digo en plan para desviar el tema (ni nada por el estilo), pero que vamos, me resulta curioso esto, que, bueno, si el ordenador estaba desconectado de Internet, el troyano en cuestion era como si no estuviese en mi ordenador (vamos, que el portatil funcionaba con normalidad), pero, si lo conectaba a Internet, pues aparecia y tenia que desconectar el portatil y reiniciarlo para que volviese a la normalidad, y, bueno, este tipo de cosas (y ya no solo en el virus -bueno, troyano- de la policia) creo que seria bueno y/o interesantes examinarlas en lo que es el funcionamiento de los virus y/o demas malware en si, en el sentido de hasta que punto pueden afectarle a uno el estar o no conectado a Internet para ver el daño que pueden causar y/o demas cosas.
Muchas gracias por vuestra atencion.
Saludos.

daryo · 11 Noviembre 2013, 20:49 PM

ultimamente e visto mucho esta pregunta y la verdad es que no le veo gran cosa.

CitarPor cierto no es ningún virus. Es un troyano.

no lo creo. un troyano permite el control remoto de un computador e intenta pasar desapercibido , evidentemente el virus de la policia no intenta pasarse desapercibido ni es la intencion el control remoto del pc

mas bien es un ransomware
https://en.wikipedia.org/wiki/Ransomware_%28malware%29

daryo · 11 Noviembre 2013, 21:02 PM

perdon el doble post

aca un pdf del analisis
aca un pdf sobre el virus http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_police_trojan.pdf

aca otro ransomware muy popular

Citar
ramsonware

ransomware es un tipo de código malicioso que bloquea el acceso a la computadora con el objetivo de pedir dinero a cambio de devolverle el control al usuario. Por lo mismo, estos códigos maliciosos suelen informarle a la víctima que si paga, se le devolverá el acceso al sistema y archivos. Con respecto a este punto, Multi Locker implementa en el C&C una sección denominada Staff. Dicha opción agrupa todo lo relacionado al robo de dinero a través de la extorsión de la víctima. Allí se muestra el código de comprobación de pago que el usuario envía. También se muestra la dirección IP, el código de comprobación de pago, y fecha y hora en que ocurre el envío del supuesto pago. Asimismo, desde Staff el atacante también puede desbloquear la computadora de la persona en caso que el pago se concrete de acuerdo a lo estipulado por el ciberdelincuente

En caso que ese comando sea enviado, el código malicioso se remueve de la computadora de la víctima y también elimina su archivo para evitar que el usuario lo reporte a empresas como ESET para su detección posterior. En Staff el atacante también puede modificar los mensajes de extorsión ingresando a la subsección "Lending Page". Es importante destacar que este crimepack incluye plantillas de campañas de propagación en varios idiomas como español, inglés, portugués, alemán, entre otros. Este punto demuestra que los cibercriminales se están ocupando de conseguir la mayor cantidad de víctimas posibles. La siguiente captura muestra la sección de edición de plantillas de Multi Locker:
Cada archivo PHP que aparece es la plantilla que puede ser modificada por el atacante para actualizar las campañas de propagación. Finalmente, Admin agrupa opciones como la posibilidad de obtener "soporte" por parte del creador de este crimepack, el cambio de contraseñas del panel y la posibilidad de cerrar sesión en el mismo. A continuación, se muestra una captura del formulario de "asistencia técnica":

Considerando que Multi Locker incluye plantillas de campañas en varios idiomas, procedimos a investigar los índices de detección de la familia de códigos maliciosos (Win32/LockScreen) en América Latina.

LockScreen en Latinoamérica: México es el país más afectado

De acuerdo a las estadísticas obtenidas por el sistema de alerta temprana ESET Live Grid, en lo que va de 2013, las detecciones de LockScreen en México han aumentado casi tres veces con respecto a todo 2012. Asimismo, en 2012 México ocupaba la posición 37ª a nivel mundial de detecciones de LockScreen. En la actualidad, ascendió a lo posición 11ª, siendo en todos los casos, el país más afectado de América Latina por esta amenaza.

Como se mencionó en el primer post, se aconseja a que la víctima nunca pague el monto solicitado por el atacante. Hacerlo supone fomentar este tipo de negocio ilícito a través de la infección de amenazas que extorsionan al usuario. Por otro lado, y pese a que este tipo de malware ofrece la posibilidad de desinfectar la computadora afectada, el pago no garantiza que los cibercriminales vayan a ejecutar dicho comando. Por lo tanto, se recomienda tener una solución de seguridad instalada y actualizada para poder detectar y evitar estas amenazas a tiempo.

André Goujon, Especialista de Awareness & Research
Fernando Catoira, Analista de Seguridad

http://blogs.eset-la.com/laboratorio/2013/06/10/mexico-pais-latinoamerica-mas-afectado-multi-locker/

crazykenny · 11 Noviembre 2013, 21:10 PM

Entiendo, y, bueno, muchas gracias por el aporte, daryo.
Muchas gracias por vuestra atencion.
Saludos.

daryo · 11 Noviembre 2013, 21:12 PM

Cita de: crazykenny en 11 Noviembre 2013, 21:10 PM
Entiendo, y, bueno, muchas gracias por el aporte, daryo.
Muchas gracias por vuestra atencion.
Saludos.

por nada

paulagarcum · 11 Noviembre 2013, 22:18 PM

Cita de: paulagarcum
Por cierto no es ningún virus. Es un troyano.

Cita de: daryo
no lo creo. un troyano permite el control remoto de un computador e intenta pasar desapercibido , evidentemente el virus de la policia no intenta pasarse desapercibido ni es la intencion el control remoto del pc

mas bien es un ransomware
https://en.wikipedia.org/wiki/Ransomware_%28malware%29

El PDF que tú mismo pones de TrendMicro me sirve para responderte: tiene este título: The "Police Trojan".
En el PDF se refieren a él como Trojan.
Ramsonware es un tipo de malware (sea del tipo que sea ese malware) que tiene como característica principal que pide un rescate: ransom = rescate, de ahí su nombre. Pero no es ningún tipo de clasificación genérica como virus, worm, trojan, ... Y por supuesto vuelvo a aclarar que no es ningún virus (ya que no infecta ejecutables, boot sectors, etcs), sino un troyano. Por cierto, un troyano no implica forzosamente el control remoto de un computador. A partir de aquí que cada uno siga pensando lo que guste. Mi respuesta sobre esto es ésta, no entro a más.

daryo · 11 Noviembre 2013, 22:41 PM

owo vaya respuesta y en letra roja ._. .

talves tengas razon y todo xD vamos solo es que no cuadra con lo que conozco de malware .

creo que como en español se popularizo como el virus de la policia en ingles fue police troyan mira que en el pdf esta entre comillas "police trojan" y si ves la pagina 3 encuentras que lo describe como ransomware

salu2!

Mad Antrax · 12 Noviembre 2013, 00:06 AM

El virus de la policia es en realidad un gusano/ransomware. Explota una vulnerabilidad que reside en una versión reciente de JAVA. La vulnerabilidad es la CVE-2012-0507 descubierta en Enero (no estoy seguro de la fecha del exploit)

Digamos que los equipos que no tengan actualizada la última versión de JAVA se pueden infectar con solo ejecutar una página web que contenga el script/applet malicioso, descargando un ejecutable y ejecutándolo sin el permiso del usuario. Así es como el virus (gusano) de la policía se expande por la red.

La estructura del "virus" es:

Explotar una vulnerabilidad en JAVA para infectar equipos = GUSANO
Impedir el uso del equipo infectado = VIRUS
Pedir dinero a cambio de la desinfección = RANSOMWARE

Una vez descargado y ejecutado, modifica el registro y cambia el valor del SHELL del sistema (originalmente es explorer.exe y lo cambia por viruspolicia.exe) por eso al iniciar un PC infectado el escritorio no se carga y solo muestra la pantalla del virus pidiendo dinero xD.

No es un virus muy complejo y bajo mi punto de vista está bastante mal programado. Lo único destacable es la capacidad de propagarse utilizando un 0-day bastante actual de JAVA y es lo que le ha dado popularidad y potencia dada su rápida difusión.

Saludos.