El virus de la policía "evoluciona" e impide el acceso en modo seguro
---------------------------------------------------------------------

Puesto que parece que sigue la "moda", vamos a hablar un poco más de
este malware que está afectando a tanta gente en España en los últimos
días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos
sofisticadas que las anteriores en algunos aspectos, más "malvadas" en
otros... y poco detectadas.

Hace unos días recomendaba un método para prevenir la infección de una
de las primeras variantes de este famoso malware que bloquea el acceso
al sistema. Hemos monitorizado la base de datos para detectar otras
muestras y, efectivamente, se están creando nuevas con ciertas
diferencias. Uno de los ejemplares que hemos encontrado se distancia
bastante del aparecido en junio de 2011. Veamos en qué.

La imagen

https://1.bp.blogspot.com/-L5C5eRZ4UYI/T ... /poli2.png

Como vemos en la figura, la imagen utilizada para el engaño es más
burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir
al usuario a que introduzca una prueba de pago en un formulario, pide
que se envíe por correo a un dominio (cuerponational.org) que no existe.

El registro

La recomendación de la mayoría de los usuarios en Internet ante esta
infección es que se entre en modo a prueba de fallos (F8) para que no se
active y así poder "limpiarlo". En principio, me chocaba este método,
porque la muestra que conocía hasta ahora, sí se activaba en el modo a
prueba de fallos también. Efectivamente, las nuevas variantes no lo
hacen... pero porque no lo necesitan. ¿Significa que son más sencillas
de "eludir" y así recuperar el control del sistema. Todo lo contrario.

Las primeras variantes modificaban esta rama del registro en XP:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

O esta en Vista y 7:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Creando otra directiva llamada shell, con la ruta del troyano. Este
método es muy efectivo, puesto que permite que el troyano también se
active cuando se entra en "modo a seguro" (pulsando F8 durante el
arranque).

La diferencia con esta nueva variante localizada, es que se copia a:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Que es una zona mucho más común que usan tanto programas legítimos como
malware... y que no se lanza en modo seguro. Esto sería una ventaja en
teoría porque sería más sencilla su "eliminación manual". Y decimos, "en
teoría" porque este troyano destroza el sistema para impedir que se
inicie en modo seguro. Concretamente, borra casi todas las ramas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

que se encargan de arrancar el sistema en "Modo seguro" normal y con
funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul.
Lo curioso es que el malware intenta realizar una "copia de seguridad"
en las ramas que se inventa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net

https://1.bp.blogspot.com/-RWDJFGLtBeA/T ... normal.png
https://2.bp.blogspot.com/-5W_XxkXnPtQ/T ... ectado.png

No deja de ser curioso el intento de copia de seguridad. Si un usuario
llegase a recuperar el control de su equipo, podría renombrar esas ramas
y "restaurar" el sistema. También eliminar el troyano de la rama que
hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el
troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos
usuarios definidos en el sistema operativo. Para prevenirlo... es más
complejo. Podríamos igualmente proteger esas ramas del registro del modo
seguro para que no fuesen modificadas por el administrador (pero no he
probado sus consecuencias a fondo, si las tuviera).

https://2.bp.blogspot.com/-ksJPXmf79L4/T ... eboot3.png

Detección antivirus

Según nuestra base de datos, esta muestra llegó por primera vez el 24 de
febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente,
el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8
motores de nuevo (parece que algunas firmas dejan de detectarlo por
heurística, siendo exactamente la misma muestra). Finalmente, el día 26
de febrero es detectada por 24 motores.

Es posible que otras personas se hayan inspirado en el anterior para
hacer un nueva variante, o que la misma banda haya querido añadir
"complejidad".

Rusata escribió:No es virus propiamente dicho, dime que paginas visitas y.....................

Aqui te lo arreglan sin perder tardes:
http://www.malwarebytes.org/lp/es?gclid=CMKY7tOWzq4CFcIntAodfjMpAQ

nasredim escribió:

Rusata escribió:No es virus propiamente dicho, dime que paginas visitas y.....................

Aqui te lo arreglan sin perder tardes:
http://www.malwarebytes.org/lp/es?gclid=CMKY7tOWzq4CFcIntAodfjMpAQ

Se cree el ladrón que todos son de su condición

Rusata escribió:

nasredim escribió:
Se cree el ladrón que todos son de su condición

nonononono! Yo hablo en terceras personas " aun amigo de primo de cunado de esposa le paso" pero no a mi.