El virus de la policía "evoluciona" e impide el acceso en modo seguro
---------------------------------------------------------------------
Puesto que parece que sigue la "moda", vamos a hablar un poco más de
este malware que está afectando a tanta gente en España en los últimos
días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos
sofisticadas que las anteriores en algunos aspectos, más "malvadas" en
otros... y poco detectadas.
Hace unos días recomendaba un método para prevenir la infección de una
de las primeras variantes de este famoso malware que bloquea el acceso
al sistema. Hemos monitorizado la base de datos para detectar otras
muestras y, efectivamente, se están creando nuevas con ciertas
diferencias. Uno de los ejemplares que hemos encontrado se distancia
bastante del aparecido en junio de 2011. Veamos en qué.
La imagen
https://1.bp.blogspot.com/-L5C5eRZ4UYI/T ... /poli2.pngComo vemos en la figura, la imagen utilizada para el engaño es más
burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir
al usuario a que introduzca una prueba de pago en un formulario, pide
que se envíe por correo a un dominio (cuerponational.org) que no existe.
El registro
La recomendación de la mayoría de los usuarios en Internet ante esta
infección es que se entre en modo a prueba de fallos (F8) para que no se
active y así poder "limpiarlo". En principio, me chocaba este método,
porque la muestra que conocía hasta ahora, sí se activaba en el modo a
prueba de fallos también. Efectivamente, las nuevas variantes no lo
hacen... pero porque no lo necesitan. ¿Significa que son más sencillas
de "eludir" y así recuperar el control del sistema. Todo lo contrario.
Las primeras variantes modificaban esta rama del registro en XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:
Shell=Explorer.exe, troyano.exe
O esta en Vista y 7:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Creando otra directiva llamada shell, con la ruta del troyano. Este
método es muy efectivo, puesto que permite que el troyano también se
active cuando se entra en "modo a seguro" (pulsando F8 durante el
arranque).
La diferencia con esta nueva variante localizada, es que se copia a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Que es una zona mucho más común que usan tanto programas legítimos como
malware... y que no se lanza en modo seguro. Esto sería una ventaja en
teoría porque sería más sencilla su "eliminación manual". Y decimos, "en
teoría" porque este troyano destroza el sistema para impedir que se
inicie en modo seguro. Concretamente, borra casi todas las ramas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
que se encargan de arrancar el sistema en "Modo seguro" normal y con
funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul.
Lo curioso es que el malware intenta realizar una "copia de seguridad"
en las ramas que se inventa:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net
https://1.bp.blogspot.com/-RWDJFGLtBeA/T ... normal.pnghttps://2.bp.blogspot.com/-5W_XxkXnPtQ/T ... ectado.pngNo deja de ser curioso el intento de copia de seguridad. Si un usuario
llegase a recuperar el control de su equipo, podría renombrar esas ramas
y "restaurar" el sistema. También eliminar el troyano de la rama que
hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el
troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos
usuarios definidos en el sistema operativo. Para prevenirlo... es más
complejo. Podríamos igualmente proteger esas ramas del registro del modo
seguro para que no fuesen modificadas por el administrador (pero no he
probado sus consecuencias a fondo, si las tuviera).
https://2.bp.blogspot.com/-ksJPXmf79L4/T ... eboot3.pngDetección antivirus
Según nuestra base de datos, esta muestra llegó por primera vez el 24 de
febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente,
el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8
motores de nuevo (parece que algunas firmas dejan de detectarlo por
heurística, siendo exactamente la misma muestra). Finalmente, el día 26
de febrero es detectada por 24 motores.
Es posible que otras personas se hayan inspirado en el anterior para
hacer un nueva variante, o que la misma banda haya querido añadir
"complejidad".
: hace unos dias, un compañero de trabajo nos comentó que sus hijas de 6 a 10 años, estaban navegando por internet y les apareció este intento de fraude: luego miró el historial y ellas estaban navegando por páginas completamente normales para niñas de su edad.
