viernes, 2 de marzo de 2012

El virus de la policía "evoluciona" e impide el acceso en modo seguro

Puesto que parece que sigue la "moda", vamos a hablar un poco más de este malware que está afectando a tanta gente en España en los últimos días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos sofisticadas que las anteriores en algunos aspectos, más "malvadas" en otros... y poco detectadas.

ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.

Hace unos días recomendaba un método para prevenir la infección de una de las primeras variantes de este famoso malware que bloquea el acceso al sistema. Hemos monitorizado la base de datos para detectar otras muestras y, efectivamente, se están creando nuevas con ciertas diferencias. Uno de los ejemplares que hemos encontrado se distancia bastante del aparecido en junio de 2011. Veamos en qué.

La imagen


Como vemos en la figura, la imagen utilizada para el engaño es más burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir al usuario a que introduzca una prueba de pago en un formulario, pide que se envíe por correo a un dominio (cuerponational.org) que no existe.

El registro

La recomendación de la mayoría de los usuarios en Internet ante esta infección es que se entre en modo a prueba de fallos (F8) para que no se active y así poder "limpiarlo". En principio, me chocaba este método, porque la muestra que conocía hasta ahora, sí se activaba en el modo a prueba de fallos también. Efectivamente, las nuevas variantes no lo hacen... pero porque no lo necesitan. ¿Significa que son más sencillas de "eludir" y así recuperar el control del sistema. Todo lo contrario.

Las primeras variantes modificaban esta rama del registro en XP:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

O esta en Vista y 7:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Creando otra directiva llamada shell, con la ruta del troyano. Este método es muy efectivo, puesto que permite que el troyano también se active cuando se entra en "Modo seguro" (pulsando F8 durante el arranque).

La diferencia con esta nueva variante localizada, es que se copia a:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Que es una zona mucho más común que usan tanto programas legítimos como malware... y que no se lanza en modo seguro. Esto sería una ventaja en teoría porque sería más sencilla su "eliminación manual". Y decimos, "en teoría" porque lo que hace este troyano para impedirlo es destrozar el sistema para que nose inicie en modo seguro. Concretamente, borra las ramas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

que se encargan de arrancar el sistema en "Modo seguro" normal y con funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul. Lo curioso es que el malware realiza una "copia de seguridad" de lo que borra en otras ramas con nombres inventados:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net

Rama del registro normal para el Modo Seguro

Rama del registro modificada por el troyano

No deja de ser curioso el intento de copia de seguridad. Si un usuario llegase a recuperar el control de su equipo, podría renombrar esas ramas y "restaurar" el sistema. También eliminar el troyano de la rama que hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos usuarios definidos en el sistema operativo. Sin embargo para prevenirlo... es más complejo. Podríamos igualmente proteger esas ramas del registro que corresponden del modo seguro para que no fuesen modificadas por el administrador (pero no he probado sus consecuencias a fondo, si las tuviera).


Detección antivirus

Según nuestra base de datos, esta muestra llegó por primera vez el 24 de febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente, el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8 motores de nuevo (parece que algunas firmas dejan de detectarlo por heurística, siendo exactamente la misma muestra). Finalmente, el día 26 de febrero es detectada por 24 motores.

Es posible que otras personas se hayan inspirado en el anterior para hacer un nueva variante, o que la misma banda haya querido añadir "complejidad".

Más información:

Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

Sergio de los Santos
Twitter: @ssantosv

54 comentarios:

  1. Hola, cual el MD5 del dropper?
    Gracias!

    ResponderEliminar
  2. Seria posible recuperar esas entradas aunque sea de modo manual, arrancando con un ERD o con los Dart, No ¿?
    A ver si cae en mis manos la variante y la pruebo, por que raro es el dia que no me venga un equipo con ese "virus"

    ResponderEliminar
    Respuestas
    1. En windows 7 sino deja entrar en en modo seguro presionando F8 prueba primero con F5 y despues de de que apareca la primera pantalla presionais F8,despues aparecera la pantalla que te da las occiones de de modo seguro a prueba de fallos ect ect,entrais en (reparar sistema)y desde alli podeis hacer una restauracion del sistema al un punto anterior ha la infeccion,dado que de cualqier otra manera no te deja hacer la restauracion del sistema porque el virus desactiva esa occion en el rejistro,despues si quereis podeis entrar en el rejistro y volver ha activar restaurar sistema.

      Eliminar
    2. Muchisimas gracias! Me funciono a la perfeccion. Me estaba volviendo loco ya que esta nueva version del virus no me dejaba abrir en modo seguro pero segui tus pasos y solucionado. Mil gracias otra vez.
      Un saludo

      Eliminar
    3. HAGANME CASO Y SIGAN LA SOLUCION DE ESTE USUARIO FUNCIONA PERFECTAMENTE EN CASOS DE QUE EL VIRUS NO TE DEJE ACCEDER A NINGUN SITIO O TE REINICIE EK EQUIPO CUANDO ENTRAS EN EL MODO SEGURO. ERES UN GENIO! MUCHAS GRACIAS

      Eliminar
  3. olaa desde hace unos diaas tengo un virus en el k se han bloqueadoo toodas las aplicaciioones y al encendeerloo mee salee esaa paginaa y no se puuedee quiitar alguien sabe como arreglarlo? poor favor ayuudaa k tengoo un trabaajo muy importaantee!Gracias.

    ResponderEliminar
    Respuestas
    1. instala malwaresbytes en otra pc ,kita tu disco duro infectado y conéctalo de forma externa como si fuera un usb y scanealo con malwaresbytes después del scaneo saldrán los virus eliminalos
      y listo

      Eliminar
  4. Insisto. Usen un sistema operativo de verdad y no la mierda de Windows.

    ResponderEliminar
  5. Hola, a mi me paso y fue muy sencillo. Con el tuneup en modo prueba se crean dos enlaces en el inicio del pc, con eliminarlos he tenido suficiente. Ya se fue y nunca más volvio. Como te dice los ultimas modificaciones de programas que estan en inicio es muy sencillo de averiguar.
    Saludos

    ResponderEliminar
  6. A mi me pasó eso, pero me pedían 100 €. Me creó problema unos 15 minutos; el antivirus, Norton 360, me limpió y eliminó el archivo msdubmn.com que estaba situado en
    c:\documents and settings\all users\local settings\temp
    La aplicación dañina, si mostraba una dirección de e-mail, desconozco si verdadera o no:
    einzahlung@inter-bundeskriminalamts.eu

    ResponderEliminar
    Respuestas
    1. una pregunta entnces cuando descubriste el archivo lo borraate de
      c:\documents and settings\all users\local settings\temp i listo???

      Eliminar
  7. Hola muy buenas precisamente ayer me aprecio el virus mutante este ahora viene con el sello de la policia y va con el sobrenombre de C.N.P B.I.T se hacen pasar por la brigada de investigacion tecnologica. Te piden lo mismo. los 100€ de ukash. no te deja hacer casi nada en el ordenador. El administrador de tareas no te va a servir de mucho. pork no te permite cerrar procesos ni crear procesos. Yo lo limpié cambiando de ventana con el teclado y a traves de la ventana. Intente inciciar el antivirus pero no me dejaba arrancarlo. acceso denegado me ponia. Despues fui a panel de control y hice un restaurar sistema y eso si que me funcionó. Espero que os sirva la informacion.

    ResponderEliminar
    Respuestas
    1. A mi me ha pasado exactamente igual hoy y he hecho lo mismo "restaurar el sistema" y parece que funciona. luego le he pasado el antivirus y me ha detectado un troyano.. espero que esto sea todo y no siga mi equipo infectado, no se si tengo que hacer algo mas..

      Eliminar
  8. Hola, me ha aparecido el aviso este, y no me deja hacer nada en el ordenador!
    He intentado restaurar el sistema, pero no he podido...
    Qué tengo que hacer para removerlo manualmente? Por favor! No soy informática, así que explicadme sencillito

    Muy urgente

    ResponderEliminar
  9. Hola
    En mi caso no exactamente como se detalla arriba. Desde Ejecutar, poner REGEDIT y accdeder a la ruta:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    Aqui tenemos lo que arranca al encender el PC

    Habia una cadena extraña que no te decia nada con un text Hexadecimal.
    Borrarla y punto

    Si dudas antes de borrar en el menu superior puedes importar la cadena, te ofrece guardarla por ejemplo en el escritorio y a posterirori si no era la causa del problema ejecutas el programa .reg que se ha guardado en escritorio y se volveria a escribir la cadena donde estaba

    Suerte

    ResponderEliminar
    Respuestas
    1. Perfecto amigo, muchas gracias eliminada esa cadena hexadecimal y se soluciono todo. Eres un fenomeno

      Eliminar
  10. Sobre el comentario anterior queria decir EXPORTAR la cadena

    Suerte igual

    ResponderEliminar
  11. alguien puede explicarme que hacer para podr quitar este virus que tengo en mi otro pc porfavor

    ResponderEliminar
  12. Hoy a mi me ha pasado. he tenido un sust buff. Ojo donde os metáis, puede que te lanzen estos virus.Yo he reciniado el ordenador y he apretado f8 y luego algo de sistema de red y ya ha funcionado, luego psar el antivirus y entoces formatear el ordenador. Son unos .,.....

    ResponderEliminar
  13. AnónimoMar 11, 2012 02:42 PM
    A mi me pasó eso, pero me pedían 100 €. Me creó problema unos 15 minutos; el antivirus, Norton 360, me limpió y eliminó el archivo msdubmn.com que estaba situado en
    c:\documents and settings\all users\local settings\temp
    La aplicación dañina, si mostraba una dirección de e-mail, desconozco si verdadera o no:
    einzahlung@inter-bundeskriminalamts.eu

    Buenas.
    Os cuento que el mismo malware se le metio al ordenador de mi novia, solo que en frances, supongo que detecta el idioma y carga algun traductor, esto lo deduje por los errores ortograficos mas una imagen de unos oficiales donde decia "policia" en el uniforme, en español!!! jaja

    Yo luego de pelear un rato logre solucionarlo de la siguiente forma:
    Inicie el ordenador con un cd booteable de linux ubuntu 10.1, e inicie en modo de prueba, vale decir que se carga todo en memoria. Luego accedi al dusco principal y busque en la ruta que dice el colega citado, solo que en esta ocacion el archivo maldito tenia una extension diferente, lo encontre como "msdubmnd.scr", aproveche a revisar todas las cuentas de usuarios en busca de temporales y borre todo. Reinicie y listo, luego solo resta verificar con el antivirus y los registros para asegurar que todo este en orden.
    Saludos

    ResponderEliminar
  14. Tengo una modalidad del virus que(mi sistema es un XP):
    -no permite iniciar en modo seguro
    -no permite iniciar simbolo del sistema
    -Puedo arrancar el ordenador en la ultima configuracion(pero sin privilegios de administrador aunque mi cuenta los tenia). Esto solo si no estoy conectado a internet. Cuando me conecto aparece la pantalla bloqueandome.
    -Los codigos 1029384756 y QRT5T5FJQE53BGXT9HHJW53YT no funcionan.
    -Con la pantalla bloqueando el ordenador no puedo utilizar Tabulador+Alt
    -Iniciando, como me permite, no puedo acceder al registro ni a los puntos de reinicio, ni nada util.

    Les agradeceria si pudieran ayudarme.

    Gracias

    ResponderEliminar
  15. Tengo una modalidad de virus que(mi sistema es un XP):
    -no permite iniciar en modo seguro
    -no permite iniciar simbolo del sistema
    -Puedo arrancar el ordenador en la ultima configuracion(pero sin privilegios de administrador aunque mi cuenta los tenia). Esto solo si no estoy conectado a internet. Cuando me conecto aparece la pantalla bloqueandome.
    -Los codigos 1029384756 y QRT5T5FJQE53BGXT9HHJW53YT no funcionan.
    -Con la pantalla bloqueando el ordenador no puedo utilizar Tabulador+Alt
    -Iniciando como me permite no puedo acceder al registro ni a los puntos de reinicio, ni nada util.

    Les agradeceria si pudieran ayudarme.

    Gracias

    ResponderEliminar
    Respuestas
    1. Ya he solucionado el problema. Para aquellos que el virus no les deje iniciar en modo seguro yo utilice el DR.WEB. Es un disco de arranque con un anti-virus. Lo descargas en otro ordenador, lo gravas en un CD, arrancas con el CD el ordenador infectado y le pasas al antivirus y listo, solucionado.
      Como ya estaba en faena tambien hice lo mismo con el Avira, por si las moscas.

      Eliminar
  16. A mi me pareció el dia 30 la variante (en XP) que no te permite entrar en ningún modo seguro y que además me había secuestrado todas las cuentas de usuario.
    Lo he conseguido quitar mediante el Kaspersky recue disk que trae también un editor del registro de windows. El virus aparecía en
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    en la cadena userinit junto con userinit.exe en el direcctorio
    c:\WINDOWS\system32\1526DD7E64BD98C8182E.exe
    Una vez eliminado el virus desapareció. No se si el kaspersky lo hubiera reconocido.

    ResponderEliminar
  17. Hola. Tuve el problema recientemente y lo solucioné así (XP):

    -F5 durante el arranque.
    -Seleccionar modo de restauracion de SD.
    -Instalar, actualizar y pasar "Malwarwbytes anti-malware". Lo detecta y elimina.

    Ignoro si me ha causado daños o sigue escondido por ahí... pero el PC vuelve a funcionar. Espero que a alguien le sirva. Saludos.

    ResponderEliminar
    Respuestas
    1. Muchas gracias, lo he solucionado así

      Eliminar
    2. te agradezco hermano, me salvaste la chamba...........xD, es de mi trabajo la lap, saludos

      Eliminar
  18. a mi me paso en dos ordenadores uno xp y el otro win7:
    en win7 arranque en modo seguro simbolo windows restaure el sistema en un punto anterior y solucionado
    con xp arraque en modo seguro analize con walwarwbytes anti-malware lo detecto y lo elimino solucionado

    ResponderEliminar
    Respuestas
    1. a mi me paso en ordenador win7:
      hay que encender en modo seguro (f5 y f8)y después instalar el antivirus,...reiniciar y ya te limpia el antivirus,...yo lo hice con norton, el Malwarwbytes anti-malware" me limpió 25 archivos infectados pero no el troyano q lo eliminó el norton...por favor, denuncienlo a la policía estas estafas.gracias

      Eliminar
  19. Despues de eliminarlo y recuperar parte de las funciones del sistema, no salia el taskmgr.exe y es debido a una linea en el registro
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    "Debugger"="P9KDMF.EXE"
    Me falta recuperar el modo seguro y no se que mas.

    ResponderEliminar
    Respuestas
    1. Mil millones de gracias para Anónimo18 de abril de 2012 15:17
      Después de eliminar el virus de la policia me estaba volviendo loca tratando de recuperar el taskmgr.exe

      Eliminar
  20. Hombre PODIAIS DECIR LO MÁS FÁCIL. !!!ACTUALIZA TU JAVA!!!

    ResponderEliminar
  21. Algunos tambien modifican boot.ini

    ResponderEliminar
  22. a mi hace poco me ha pasado, y no me dejo ni entrar en modo seguro, me toko reiniciar el ordenador desde la configuracion de fabrica, no me dejab hacer praticamente nada, no se si yo fui muy incopentente, o el virus habra mejorado, la cuestion es ke perdi toda mi informacion, ahora funciona esperemos que siga asi

    ResponderEliminar
  23. Gracias "Anónimo 3 de abril de 2012 08:38", siguiendo tus indicaciones he podido recuperar el control sobre el ordenador.

    ResponderEliminar
  24. A mi me ha estropeado el disco duro del ordenador, se expandio por todas partes. Si no estan segur@s al 100x100 de como solucionarlo, mejor no toquen el ordenador y llevenselo a alguien que entienda.

    ResponderEliminar
  25. Yo tambien tube este virus de la policia y lo elimine entrando en modo seguro y pasando malwarebytes. Aparentemente quedo resuelto, pero ahora veo que no funciona windows update, es mas no aparece ni en la lista de servicios locales, no se que hacer ya con el p... virus este, si os a pasado lo mismo os agradeceria que me ayudarais.
    Un saludo.
    Gracias.

    ResponderEliminar
    Respuestas
    1. pasa un antivirus y que analice el sistema...el Malwarwbytes anti-malware solo limpia para que funcione pero no los rastros del virus...

      Eliminar
  26. ¿pero es que ustedes no tienen suficientes problemas en la vidad diaria, que insisten en usar windows como sistema operativo? Usen un s.o. de verdad(como dijeron más arriba..) y olvidense de los virus!! que la vida es muy corta, como para perder tiempo y dinero con mierda de virus y bsod's...
    Yo uso linux, y cada vez que veo una noticia de estas, me rio un montón..jajajaja!! esque la gente no aprende..que le vamos a hacer..

    ResponderEliminar
    Respuestas
    1. Yo también me río de todos esos infelices: tengo un MAC y cuando me pasa esto solo tengo que forzar salida del navegador (Firefox en mi caso, para que luego digan los enterados) y borrar la caché... ¡¡¡Y listo!!!

      Eliminar
  27. Ayer al arrancar mi máquina, decubrí que tenía un virus..por lo visto se llama Windows(lo hay en diferentes variantes, una se llama XP, otra Vista, otra W7, y comentan por ahí que ha salido uno nuevo que se llama Windows8, que es aún más peligroso!!)
    Mi amigo me dijo que la única solución era quemar el ordenador rápidamente y desinfectarme todo el cuerpo con salfumant y alcohol de 96º(ya saben que los virus se contagian muy rápidamente..y así lo hice..), pero por los comentarios que leo aquí, no sirvió de mucho y esto se ha convertido en pandemia!!
    Mi consejo: ¡déjenlo todo y salgan corriendo de casa! cojan el primer barco-avión-bicicleta-tren o lo que tengan a mano, y emigren a la antártida, ahí creo que no llega windows..(o sí?? quizás en la Estación Internacional Antártica no usen SS.OO-GNU/Linux..Dios mío!!noooooooo!!)

    ResponderEliminar
    Respuestas
    1. uf... menos mal que alguien tiene humor frente a este virus infernal

      Eliminar
  28. Para ser Windows el sistema operativo más utilizado, hay un montón de linuxeros por aquí (y esperemos que al menos sea verdad de que usen Linux...al menos saben escribirlo) XD. ¿De verdad pesais que utilizar Linux soluciona el problema de los virus?

    Saludos

    ResponderEliminar
    Respuestas
    1. También se elimina pasándote a Mac. Para Mac solo existen 38 (con un error de +-1) virus conocidos y basta con borrar la caché n casos como el que nos ocupa... ¡Ni siquiera bloquea el ordenador, puedes salir del navegador y hacer lo que te dé la gana!
      Un saludo.

      Eliminar
  29. El problema que me pasa, es que no me abra en modo seguro. Vuelve al inicio una y otra vez. No se lo que hacer.

    ResponderEliminar
  30. Sin duda lo mejor del troyano es la traducción de "Back" (volver) como "Espalda". Estos hackers son cada vez más retrasados.

    ResponderEliminar
  31. kk honda .... tengo win xp y win7 instalado... pense que cuando los intentara borrar desde win xp (el virus lo tengo en win 7) lo iva a poder borrar pero no se pudo... que puedo hacer ???

    ResponderEliminar
  32. instala kaspersky en xp y haz un examen completo dl equipo

    ResponderEliminar
  33. Ya me ha entrado dos veces el dichoso virus de la policía. La primera vez lo solventé entrando en "Modo seguro" fuí a "Restaurar el sistema" y arreglado.
    La segunda no me dejaba en "Modo seguro" y entré en "Modo de restauración", bueno, el tercer modo que hay. No puede entrar a "Restaurar el sistema", no me dejaba, asi que instalé el Malwarebytes anti-malware, y listo. Pero ahora me he dado cuenta de que no puedo entrar por ningún modo de los tres que hay. Lo de "Reiniciar el sistema" lo arreglé desinstalándolo y volviendo a instalar. Pero sigo sin poder entrar en ningún modo. ¿Que es lo que tengo que hacer en el caso de que me vuelva a entrar el mismo virus u otro? Ayuda por favor.

    ResponderEliminar
    Respuestas
    1. Rezar para que el virus no haya evolucionado. La mayoría de los antivirus no sirven y hay que buscar una solución personalizada a cada virus (o tipo) cuando te lo encuentras de nuevo.

      Eliminar
  34. al principio pude acceder al administrador de tareas pero despues ya ni eso pude..!! ahora mi cursor no se mueve y mi pantalla cambio de color ..

    ResponderEliminar
  35. si con una examinacion rapida de Malwarebytes y ya despues cuando detecto los elementos maliciosos y los elimino , ya habra desaparecido el virus?

    ResponderEliminar