viernes, 2 de marzo de 2012

El virus de la policía "evoluciona" e impide el acceso en modo seguro

Puesto que parece que sigue la "moda", vamos a hablar un poco más de este malware que está afectando a tanta gente en España en los últimos días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos sofisticadas que las anteriores en algunos aspectos, más "malvadas" en otros... y poco detectadas.

ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.

Hace unos días recomendaba un método para prevenir la infección de una de las primeras variantes de este famoso malware que bloquea el acceso al sistema. Hemos monitorizado la base de datos para detectar otras muestras y, efectivamente, se están creando nuevas con ciertas diferencias. Uno de los ejemplares que hemos encontrado se distancia bastante del aparecido en junio de 2011. Veamos en qué.

La imagen


Como vemos en la figura, la imagen utilizada para el engaño es más burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir al usuario a que introduzca una prueba de pago en un formulario, pide que se envíe por correo a un dominio (cuerponational.org) que no existe.

El registro

La recomendación de la mayoría de los usuarios en Internet ante esta infección es que se entre en modo a prueba de fallos (F8) para que no se active y así poder "limpiarlo". En principio, me chocaba este método, porque la muestra que conocía hasta ahora, sí se activaba en el modo a prueba de fallos también. Efectivamente, las nuevas variantes no lo hacen... pero porque no lo necesitan. ¿Significa que son más sencillas de "eludir" y así recuperar el control del sistema. Todo lo contrario.

Las primeras variantes modificaban esta rama del registro en XP:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

O esta en Vista y 7:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Creando otra directiva llamada shell, con la ruta del troyano. Este método es muy efectivo, puesto que permite que el troyano también se active cuando se entra en "Modo seguro" (pulsando F8 durante el arranque).

La diferencia con esta nueva variante localizada, es que se copia a:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Que es una zona mucho más común que usan tanto programas legítimos como malware... y que no se lanza en modo seguro. Esto sería una ventaja en teoría porque sería más sencilla su "eliminación manual". Y decimos, "en teoría" porque lo que hace este troyano para impedirlo es destrozar el sistema para que nose inicie en modo seguro. Concretamente, borra las ramas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

que se encargan de arrancar el sistema en "Modo seguro" normal y con funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul. Lo curioso es que el malware realiza una "copia de seguridad" de lo que borra en otras ramas con nombres inventados:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net

Rama del registro normal para el Modo Seguro

Rama del registro modificada por el troyano

No deja de ser curioso el intento de copia de seguridad. Si un usuario llegase a recuperar el control de su equipo, podría renombrar esas ramas y "restaurar" el sistema. También eliminar el troyano de la rama que hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos usuarios definidos en el sistema operativo. Sin embargo para prevenirlo... es más complejo. Podríamos igualmente proteger esas ramas del registro que corresponden del modo seguro para que no fuesen modificadas por el administrador (pero no he probado sus consecuencias a fondo, si las tuviera).


Detección antivirus

Según nuestra base de datos, esta muestra llegó por primera vez el 24 de febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente, el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8 motores de nuevo (parece que algunas firmas dejan de detectarlo por heurística, siendo exactamente la misma muestra). Finalmente, el día 26 de febrero es detectada por 24 motores.

Es posible que otras personas se hayan inspirado en el anterior para hacer un nueva variante, o que la misma banda haya querido añadir "complejidad".

Más información:

Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

Sergio de los Santos
Twitter: @ssantosv