Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

wolfbcn · 29 Febrero 2012, 14:07 PM

Desde hace unas semanas veníamos observando que las visitas y comentarios en una noticia sobre un troyano de junio de 2011, aumentaban. Los usuarios buscaban información en Google, acababan en el artículo, y preguntaban. Las menciones en medios generalistas lo confirmaban: el troyano se pone de moda y afecta a muchos usuarios. Veamos cómo protegerse de verdad.

En junio de 2011 publicábamos esta noticia: "Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico". Incluía un vídeo demostración del troyano. Bloqueaba el sistema con la siguiente excusa:

En nombre de la policía nacional, le acusa de: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: "Pagan una multa policialfalsa por ver porno en sus ordenadores"

Resulta cuando menos curioso que casi nueve meses después de ser "descubierto", el troyano protagonice titulares en medios generalistas, y la infección llegue a tantos usuarios. Sobre todo, porque no es especialmente sofisticado. Incluso, es bastante detectado por los sistemas antivirus, y no existen demasiadas variantes en nuestra bases de datos (o sea, que parece ser que viene siendo exactamente el mismo fichero que en junio de 2011 el que está infectando a tanta gente).

Cómo protegerse

Puesto que estamos recibiendo numerosas consultas sobre el asunto, vamos a ofrecer una solución real contra este y cualquier otro tipo de troyano parecido que aparezca en el futuro. Por supuesto, la prevención pasa por evitar ejecutar archivos desconocidos, y actualizar el software para que no contenga vulnerabilidades. Si aun así, no nos fiamos de nosotros mismos, la buena noticia es que es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar nuestro sistema.

El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo.

Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

En XP, la rama del registro que modifica es:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Aquí crea otra directiva llamada shell, con la ruta del troyano.

En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos.

Luego eliminamos los permisos de escritura, para administradores y usuarios.

Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave".

Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.

Más información:

Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html

Una estafa informática te acusa de descargar pornografía y exige 100 euros para solucionarlo http://www.cadenaser.com/tecnologia/articulo/estafa-informatica-acusa-descargar-pornografia-exige-euros-solucionarlo/csrcsrpor/20120215csrcsrtec_1/Tes

"Pagan una multa policial falsa por ver porno en sus ordenadores" http://www.lavozdegalicia.es/noticia/pontevedra/2012/02/24/pagan-multa-policial-falsa-ver-porno-ordenadores/0003_201202P24C8991.htm

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/vuelve-el-troyano-que-se-hace-pasar-por-la-policia-como-protegerse-de-verdad

Yakui · 29 Febrero 2012, 16:08 PM

Supongo que es un artículo útil...
1) Si usas Windows...
2) ...Para ver zoofilia...
3) ...Mezclada con CP.

¿Y encima es un troyano de moda?
Este mundo está verdaderamente enfermo.

el-brujo · 1 Marzo 2012, 16:47 PM

Comportamiento de Virus en plataformas Windows
http://www.elhacker.net/comportamiento-virus.html

¿Cómo protogerse?

~~Actualizando flash player~~

Actualizando Java:

http://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html

¿Alguien tiene una muestra del virus? Es para poder mirar si realmente usa una vulnerabilidad de flash.

QAZWSX · 5 Marzo 2012, 19:33 PM

Hola:
He sufrido el "virus de la policia", me vi obligado a hacer el pago de 100 Euros, PERO no sirvio de nada, ya que no desbloquearon el equipo. Al final tube que recurrir a un informático para resolver el problema.
ATENCION: No pageis, NO sirve de nada, No desbloquean el equipo.

Yakui · 6 Marzo 2012, 00:54 AM

Cita de: QAZWSX en 5 Marzo 2012, 19:33 PM
Hola:
He sufrido el "virus de la policia", me vi obligado a hacer el pago de 100 Euros, PERO no sirvio de nada, ya que no desbloquearon el equipo. Al final tube que recurrir a un informático para resolver el problema.
ATENCION: No pageis, NO sirve de nada, No desbloquean el equipo.

¿Por qué hiciste el pago? ¿Tienes pornografía infantil en tu PC?

Songoku · 6 Marzo 2012, 01:48 AM

El otro dia me tope con otra variante del citado virus de la que hasta ahora no e leido nada por la red. En esta variante el virus no se carga desde la shell que deberia cargar al explorer si no que se carga en el inicio de windows como cualquier otra aplicacion que se inicia con windows, esta entrada ya no recuerdo bien pero apunta al svchost.exe y a su vez luego tiene parametros para que se cargue el virus que esta en una carpeta temporal y para que se cargue el IE con una url que es la que muestra la tipica interfaz del virus donde dice que es la policia y tal y pide los 100 euros. Esta ventana del IE es a pantalla completa de modo que no hay posibilidad de cerrarla porque ademas el virus deshabilita el administrador de tareas y tampoco sucede nada si se presiona la tecla de windows de modo que es imposible escapar de esa ventana del IE donde te pide el dinero, aunque eso si durante un segundo se llega a ver el escritorio de windows que esta por detras de esta extraña ventana del IE antes de que se cargue.
Por desgracia no recuerdo ahora la ruta del virus ni los parametros que metia en la entrada del registro al inicio de windows (tendria que haberlo apuntado) asi que no puedo dar mas detalles, y tampoco apunte la url donde iba el IE para mostrar la tipica interfaz del virus pidiendo el dinero y tal. En cualquier caso el virus se elimina muy facilmente iniciando el pc el modo seguro con simbolo del sistema, y cargando desde la ventana de ms-dos el explorer para asi abrir el msconfig o bien desde el ms-dos cargar el regedit y quitar esa clave del registro que inicia el virus al inicio del sistema. Una vez echo eso solo hay que reiniciar ya en modo normal y desde el regedit volver a habilitar el administrador de tareas asi como borrar los temporales para eliminar el ejecutable del virus (aunque da igual si se le borra como si no porque ya no se carga).
Saludos...

Songoku

QAZWSX · 6 Marzo 2012, 23:09 PM

Por supuesto que no, pero si no sabes mucho de informática como es mi caso, no había manera de desbloquear el equipo. Aunque como digo No sirve de nada pagar. He interpuesto una denuncia ante la policia y puesto mi PC a su disposición aunque no creo que sirva de nada.

ellindogatito · 8 Marzo 2012, 08:21 AM

Cita de: Songoku en 6 Marzo 2012, 01:48 AM
El otro dia me tope con otra variante del citado virus de la que hasta ahora no e leido nada por la red. En esta variante el virus no se carga desde la shell que deberia cargar al explorer si no que se carga en el inicio de windows como cualquier otra aplicacion que se inicia con windows, esta entrada ya no recuerdo bien pero apunta al svchost.exe y a su vez luego tiene parametros para que se cargue el virus que esta en una carpeta temporal y para que se cargue el IE con una url que es la que muestra la tipica interfaz del virus donde dice que es la policia y tal y pide los 100 euros. Esta ventana del IE es a pantalla completa de modo que no hay posibilidad de cerrarla porque ademas el virus deshabilita el administrador de tareas y tampoco sucede nada si se presiona la tecla de windows de modo que es imposible escapar de esa ventana del IE donde te pide el dinero, aunque eso si durante un segundo se llega a ver el escritorio de windows que esta por detras de esta extraña ventana del IE antes de que se cargue.
Por desgracia no recuerdo ahora la ruta del virus ni los parametros que metia en la entrada del registro al inicio de windows (tendria que haberlo apuntado) asi que no puedo dar mas detalles, y tampoco apunte la url donde iba el IE para mostrar la tipica interfaz del virus pidiendo el dinero y tal. En cualquier caso el virus se elimina muy facilmente iniciando el pc el modo seguro con simbolo del sistema, y cargando desde la ventana de ms-dos el explorer para asi abrir el msconfig o bien desde el ms-dos cargar el regedit y quitar esa clave del registro que inicia el virus al inicio del sistema. Una vez echo eso solo hay que reiniciar ya en modo normal y desde el regedit volver a habilitar el administrador de tareas asi como borrar los temporales para eliminar el ejecutable del virus (aunque da igual si se le borra como si no porque ya no se carga).
Saludos...

Songoku

Me pasa lo mismo en un portatil Acer con Windows 7 64bits, no me aparece la linea en el shell...

si alguien recuerda como deshacerse del puñetero bicho (quiza mi problema sea el mismo que el de Songoku..) vaya ganas de fastidiar !!!

saludos.

OSIPC · 10 Marzo 2012, 12:14 PM

Tengo una pequeñita tienda de informática y me han venido 5 equipos con ello uno con el vista lo he solucionado con el Rkill, http://goo.gl/NSl6j

el resto con el polifix os dejo el enlace con la explicación
http://goo.gl/Sm87e

espero os sirvan no doy toda la explicación pues ahí la tenéis super detallada y explicada al detalle incluso con imágenes.

Suerte

Dres · 11 Marzo 2012, 18:25 PM

Mi problema es peor, ya que ni rkill ni procesos manuales consiguen quitar el maldito bicho.

En el registro de windows no me aparecen las modificaciones mencionadas

El inicio está como siempre (visto desde msconfig).