Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....

Iniciado por wolfbcn, 22 Junio 2011, 01:47 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2 3 4 5 6 7
Acciones del Usuario

wolfbcn

22 Junio 2011, 01:47 AM
Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. Intenta que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."



La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20 minutos).

http://www.youtube.com/watch?v=4KtjhILjdjM&feature=player_embedded

Curiosidades:

* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.

* Comprueba la dirección IP, el user agent del navegador y el país de la IP y los muestra en pantalla para ganar credibilidad. Lo toma del servicio http://tools.ip2location.com/ib2/.

* Utiliza el logotipo oficial del cuerpo nacional de policía.

* El trabajo de traducción y la redacción son muy malas.

* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave creada en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Sergio de los Santos
ssantos@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4623
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

XayOn

#1
22 Junio 2011, 18:35 PM
Sobre el primer punto de curiosidades... Tecla windows + L.

WHK

#2
22 Junio 2011, 22:39 PM
jajajaja y lo increhible es que muchos deben haber pagado creyendo que era verdad :xD

MYASOFT8603

#3
23 Junio 2011, 00:50 AM Ultima modificación: 23 Junio 2011, 00:55 AM por MYASOFT8603
Bueno,

Hoy me ha venido un colega con el portátil infectado con este programa/virus/putada. Él estaba un poco asustado, y con razón, pocas veces se ven cosas así, y de forma tan descarada.

Mi colega tiene Windows XP.

Lo primero que probé fue el administrador de tareas, que como bien dice aqui el compañero, no sirve de mucho, así como cualquier atajo de teclas de Windows. Así que opté por entrar en modo seguro, resultando otro fracaso.

He aquí la forma que he usado para deshacerme del dichoso programa para poder por lo menos hacernos una copia de seguridad de los datos.

Entramos a Windows en modo seguro con símbolo de sistema.

Abrimos el regedit para acceder al registro que nos ha comentado el compañero (gracias por facilitarlo, a mi me fue de ayuda ^.^) y observamos la ruta del dichoso archivo, que nos llevará (por lo menos en mi caso) a un ejecutable alojado en la carpeta del navegador Mozilla Firefox (no tengo conocimiento de cómo se propaga el dichoso virus, puede que esté alojado en la carpeta del Internet Explorer para los usuarios que utilicen este navegador) nombrado en mi caso con una serie de números.

Obviamente, borraremos el ejecutable que nos está causando problemas alojado en la carpeta que nos indicaba la dirección del registro, y cambiaremos el valor de "shell" por explorer.exe.

Cuando reiniciemos el sistema deberá iniciarse sin mayor problema, dándote la posibilidad de por lo menos manejar tus ficheros.

Espero que esta info sea de ayuda a quienes se hayan encontrado con este dichoso programita.

Un saludo.

Falvan

#4
20 Agosto 2011, 19:57 PM
Hola,

me ha aparecido hoy ese troyano en un netbook que tengo con Windows XP, estaba navegando tranquilamente con el firefox y de repente ZAS! se me bloqueó la pantalla. COn el aviso de la pornografía y todo eso. La diferencia es que no me aparece nada de la policía, me ponen unos artículos del código civil eso sí.

El caso es que pasa lo mismo que contaban y el ratón se queda bloqueado a una pequeña zona que te permite mover. Aparece también un contador de 24horas, que cada vez que inicio el ordenador va a menos para que ingrese el dinero o sino me lo deja bloqueado.

He probado las soluciones que decían abajo, pero no me funciona con el modo a prueba de errores, ni con funciones de red ni tampoco con el símbolo del sistema. al igual que si arranco la última configuración buena conocida.

Me funciona pulsar Tecla Windows + L para ir al cambio de usuario, pero el ratón sigue bloqueado y yo solo tengo un usuario en la máquina.

Además mi netbook no dispone de soporte cd para tratar de hacer un arraque con otro hirens o algo así por lo que no se muy bien que hacer.

Ojalá alguien me pueda ayudar ya que es el único sitio en la red en el que encontré algo de info sobre el tema y más que nada me gustaría recuperar los datos, ya os podéis imaginar, fotografías y sobre todo composiciones musicales que es lo que más me fastidia.

Muchas gracias

BlackZeroX

#6
20 Agosto 2011, 20:38 PM
jajajaja que chapuza, eso esatara bueno para hacer bromas mas que para otra cosa xP

Dulces Lunas!¡.
The Dark Shadow is my passion.

Falvan

#7
20 Agosto 2011, 20:39 PM
Pues por lo de pronto a mi me han jodido el ordenador y no tengo forma de solucionarlo

Trane!

#8
20 Agosto 2011, 21:40 PM
Cita de: Falvan en 20 Agosto 2011, 20:39 PM
Pues por lo de pronto a mi me han jodido el ordenador y no tengo forma de solucionarlo
[youtube=425,350]http://www.youtube.com/watch?v=rQQGCrWVWuM[/youtube]

Falvan

#9
20 Agosto 2011, 21:46 PM
Gracias por la ayuda, una bonita canción que me ha ayudado a relajarme, ahora bien, gente que sepa como ayudar ya veo que en este foro ni p**a idea.  :rolleyes:
Imprimir
Ir Arriba Páginas1 2 3 4 5 6 7
Acciones del Usuario