Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

Iniciado por wolfbcn, 29 Febrero 2012, 14:07 PM

0 Miembros y 1 Visitante están viendo este tema.

kaoporrex

Creo que yo me infecte a traves de un mail de un alta de un servicio de una aplicación para el ipad. Eso creo. La plicacion puede ser una que es para ver la programacion española del TDT. Espero que esto le sirva a alguien.

alfasin

A ver. Yo me he infectado abriendo un archivo de una serie de "series yonk..."
nada de porno raro ni rollos malos. Para los listos/as no hace falta enredar mucho (como mi caso para resfriarte). Las variantes del troyano son varias. Desde la de HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, ó  la del HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
donde se ubica en un "shell", hasta la que me ha ocurrido a mí y creo que más arriba ya se ha comentado (w7-64), que no es posible encontrar el shell. Para este caso, despues del pantallazo de intento de engaño, que tapa la pantalla por completo y su funcionalidad de accesos a iconos disponible, y despues de comprobar esa inexistencia del shell mediante ctrl+alt+ supr, para iniciar el admtrador de tareas (que por cierto no es posible activarlo directamente en el desplegable que aparece, sino que "engañando" al troyano con velocidad hay que dar al botoón de abajo a la dcha: reiniciar y en esos escasos momentos del nuevo proceso o despues de indicar el sistema que hay que esperar porque el sistema nos anuncia que un momento y pregunta si deseas cancelar el reinicio o inducirlo automáticamente, a lo cual respondemos que cancelar para que se quede ese ratito pensando; volvemos ahora que está activo el sistema a presionar ctrl+alt+ supr; y ahora sí entramos en el admtrador de tareas) Dentro del administrador: entramos en aplicaciones/nueva tarea/abrir, y escribimos Regidit y entramos en el registro para buscar las entradas que anteriormente puse.
Pues como yo no tenía esas entradas, sencillamente reinicie y entre con F8 en el arranque y a modo de fallos (1ªentrada de las posibles que te ofrece) Luego hice una restauración del sistema a una fecha antigua y funcionó.
Que conste que tengo actualizado el reader y java así como el antivirus,... pero se coló.
Lo último es pagar (no vale de nada) o formatear.
Espero haber ayudado a alguien a pesar de mi rollo (lo siento).
Lo que no estoy seguro ya, es cómo prevenirlo, debido sobre todo a las variantes

ciberdiego

ya hay varias mutaciones / variantes del virus,
el primero se puede eliminar modificando el registro con regedit,
la segunta entrando en modo seguro y usando el malwarebytes,
y la ultima variante del virus de la policia no arranca ni en modo seguro,
hay que encender con un CD metido en el ordenador y arrancar desde él,
es un BOOT CD de AVIRA, que lo desinfecta, a mi me funcionó.
Aquí un tuto.http://goo.gl/y1OEa
Suerte, y no paguéis, conozco gente que se lo ha creído y ha pagado!

helejagy

Hola, no puedo acceder al equipo, en seguida sale la ventana del virus. He probado ALT y TABULADOR. Ni restaurar sistema, ni modo seguro ni nada. Sale siempre el virus. ¿Qué puedo hacer para pasar el programa que recomendáis de limpieza?

Gracias.


helejagy

Gracias r32, el caso es que es un portatil y no tiene reproductor de CD. Quizá con un lápiz USB. ¿Cómo hacerlo, cómo acceder a él si en seguida me sale la ventana del virus y no hay manera de entrar en el equipo?


erawlam

Pueden consultar la información que da directamente la policía en este enlace:

https://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=2984&Itemid=197

Además el CCN-CERT dice cómo limpiar el equipo...

rassiel

actualicen su version de java el troyano explota una vulnerabilidad en java ademas en las nuevas mutaciones es mas dificil detectarlo ya que cuando explota la vulnerabilidad en java lo que hace es descargarse a si mismo ya que lo que explota la vulnerabilidad no es el virus en si sino un exploit una vez descargado se compila en el ordenador de la victima y se activa, el virus normalmente modifica la clave shell pero en versiones mas avanzadas modifica otras claves del registro y mata cada 10 milisegundos el taskmanager.exe, para aquellos que hayan sido infectados revisen los registros de java y veran de donde se descargo el exploit, uno no se infecta por ver porno etc.. simplemente cualquier pagina que tenga publicidad basada en java puede inyectar el exploit la mejor manera es actualizando java. salu2

eerviictoor

Hola, buenas tardes este troyano lo he encontrado ya en varias empresas y si señores es una vulnerabilidad de Java, que muchos pagan los 100 euros porque son un poco pillines jajajajaja

Para empezar si quereis quitar dicho Troyano debreis intentar entrar en modo seguro para ello debeis cargar una version de vuestro SO en CD y cargarle un editor del registro para poder entrar en modo seguro.

Una vez en modo seguro Inicio > Ejecutar > msconfig ,, Pestaña Inicio
y ahi quitar los procesos que veais "Raros" es decir con mucha combinacion de caracteres (numeros y letras) ,, si no estais seguro de cual quitar buscar informacion de los procesos que seguro que dareis con el. Si no me equivoco este troyano el proceso empezaba por h4.... o algo así de todos modos probar y SUERTE!!  ::)