WhitePaper: Estudio técnico del troyano de la policía
-----------------------------------------------------
Hemos realizado un estudio técnico detallado del malware de la policía.
De esta forma hemos podido comprobar cómo se generan los códigos válidos
para eliminarlo, además de algunas curiosidades sobre su funcionamiento.
Nuestro compañero Marcin "Icewall" Noga ha estudiado en profundidad el
troyano, y descubierto algunas curiosidades. El informe completo puede
ser descargado desde
https://www.hispasec.com/laboratorio/Troyano_policia.pdf.
Aunque contiene parte de código a bajo nivel que puede asustar a algunos
usuarios menos técnicos, recomendamos su lectura porque hemos intentando
explicar su comportamiento. Contiene además el algoritmo que comprueba
qué códigos son válidos (con lo que podemos deshacernos del troyano de
manera más eficiente), además de otras curiosidades. Vamos a resumirlas:
* Si se paga el rescate, se crea el fichero "pinok.txt" en el mismo
directorio con el código usado para haber realizado el pago. El troyano
no comprueba el contenido del fichero, solo su existencia, por tanto si
se crea un fichero pinok.txt vacío, el troyano pensará que se ha pagado
el rescate.
* Hemos creado un generador de códigos válidos.
* El troyano acepta un pin universal que hará que se desbloquee:
1029384756.
* El troyano inyecta en Explorer.exe todo su cuerpo, y no sólo el código
que necesitaría para funcionar en su interior.
* El troyano contiene evidencias de código de control, que se ha
"olvidado" mientras se programaba.
* El creador ha preparado un comando que le permite eliminar el agente
de todas sus víctimas. "del".
* Los procesos que intenta anular constantemente en el equipo son:
taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y
narrator.exe
El estudio está disponible desde:
https://www.hispasec.com/laboratorio/Troyano_policia.pdf 
(una especie de targeta prepago, si mal no entiendo) y después teclear el código que me da Ukash, en la pantalla, en una casilla que aparece.
