jueves, 24 de mayo de 2012

Nuevas versiones del malware de la policía y cómo eludirlas


Sí, el virus de la policía sigue activo e infectado a usuarios. Lo interesante es que continúa evolucionando. Veremos en esta entrada qué novedades traen las últimas versiones, y cómo recuperar el control del sistema de manera muy sencilla si ha quedado infectado.

El malware de este tipo que secuestra el sistema, parece dar pasos en falso. A veces avanzan las técnicas de manera muy efectiva, y otras simplemente empeoran la efectividad de su producto. Veremos ahora algunos ejemplos.

La nueva moda es distribuir este tipo de troyanos en forma de DLL. Una librería de Windows no es más que un ejecutable, en realidad. De hecho, su "magic number" es el mismo, MZ. ¿Cómo se ejecuta una DLL? Existen dos formas, con regsvr32.exe (pasándole como parámetro la DLL) o con rundll32.exe, pasándole como parámetro la DLL y además, una función que se encuentre dentro.



¿Y si no conocemos la función dentro de la DLL? No importa. Se invocará al main (la rutina de iniciación principal) de la DLL y ejecutará su código igualmente. Por tanto, realmente el segundo parámetro de rundll32, en este caso, da igual. Para una víctima, esto es irrelevante puesto que todo el código (sea en forma de ejecutable o DLL) se ejecutará a través de vulnerabilidades.

Una vez lanzado el malware, se copia a la carpeta de inicio del usuario. En ella introduce un enlace (.lnk) que apunta al lanzamiento de la DLL.



No os dejéis engañar por la extensión (modificada por el troyano). Police.exe sigue siendo una DLL, no un ejecutable. Posicionándose en la carpeta de inicio, es fácilmente eludible, puesto que simplemente se puede arrancar con otro usuario o bien en modo a prueba de fallos. Pero veremos otra manera de eludir el troyano más adelante.


¿Por qué distribuirse en forma de DLL?

Puede tratarse de un intento de despiste para los antivirus. Al ser lanzado como parámetro de un programa legítimo (rundll32.exe, que seguro se encuentra en las listas blancas de todos los motores), cabe la posibilidad de que algún antivirus se "relaje". Una vez en memoria, el troyano estará a salvo del antivirus.

Otra razón que se nos ocurre es por intentar evitar las sandboxes que ejecutan automáticamente malware. Casas antivirus, investigadores, sandoboxes públicas, etc, suelen contar con máquinas que lanzan automáticamente los ejecutables con la idea de estudiarlos y tener una primera aproximación del comportamiento de la muestra. Si es sospechoso pasa a un análisis manual. En principio, una DLL con extensión de ejecutable daría error de ejecución, y por tanto se tomaría de forma automática como ejecutable corrupto, a no ser que el sistema esté específicamente diseñado para comprobar que se trata de una DLL y lanzarla como tal, cosa que no ocurre normalmente...…

Internet Explorer en modo kiosko, cómo eludirlo

Una vez lanzado el malware, encontramos otra novedad. Ahora, en vez de mostrar una aplicación sin bordes que ocupe toda la pantalla, o un BMP que impide acceder al escritorio, se cierran todas las aplicaciones abiertas y se lanza un Internet Explorer en modo kiosko. Esta es una opción legítima del navegador, diferente a pantalla completa, que permite navegar sin acceso al sistema y con muchas otras restricciones. Cualquiera puede probarlo lanzando en el sistema el comando:

C:\Program Files\Internet Explorer>iexplore.exe -k

Desde este punto, escapar del troyano se reduce a intentar escapar del modo kiosko. El troyano, aunque intenta restringir de varias formas el acceso a la máquina, no lo consigue. De hecho, es perfectamente posible escapar con sencillos pasos. Algo que que se puede hacer es desconectar la máquina de Internet, para que la visita a la web que aloja la imagen que bloquea el sistema no pueda ser accedida. De esta manera Internet Explorer dará un error de conexión. En XP, por ejemplo, se puede aprovechar el diagnóstico de conexión, en el apartado de más información.


Aunque, a causa de las restricciones impuestas por el troyano, no se podrá acceder al disco libremente.


Aun así, poco después de aparecer este error, Internet Explorer dejará de funcionar, se podrá recuperar el escritorio.

En Windows 7 todavía es más sencillo. Se puede usar por ejemplo el menú contextual del envío de correo por Mail.


Y, en ese nuevo navegador, ir hacia c:\windows\system32 y ejecutar un explorador.


Más información:

una-al-dia (21/06/2011) Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico

una-al-dia (28/02/2012) Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

una-al-dia (02/03/2012) El virus de la policía "evoluciona" e impide el acceso en modo seguro

una-al-dia (06/03/2012) Más información sobre el virus de la policía

una-al-dia (09/03/2012) El malware de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"

una-al-dia (18/03/2012) WhitePaper: Estudio técnico del troyano de la policía




Sergio de los Santos
Twitter: @ssantosv

6 comentarios:

  1. Muy buen trabajo, felicidades.

    ResponderEliminar
  2. Para salir del modo "kiosko" de Internet Explorer, otra opción muy sencilla es, para aquellos usuarios que la tengan es sus teclados, el uso de la tecla exclusiva de Windows (la que encontramos generalmente a la izquierda del espaciador).

    Con sólo pulsarla, tendremos acceso a la barra de tareas, y desde allí, podemos cerrar IE.

    Un saludo.

    ResponderEliminar
    Respuestas
    1. Pero eso solo funciona si se esta ejecutando el explorer.exe, y si el troyano este cierra todas las aplicaciones en ejecucion, supongo que tambien matará ese proceso.

      Eliminar
  3. A nosotros nos ha entrado hoy el virus. Hemos iniciado el ordenador en modo seguro con el F8. Pero seguimos viendo la pantalla de la SGAE reclamando los 50 euros. Intentamos minimizarla y no nos deja. Hemos provado con Alt + F4, Control + F4, Control + tabulador, Alt + tabulador y todo lo que hemos encontrado en la red, pero no hemos conseguido miniminzar la pantalla. Por favor, ¿alguien puede decirnos cómo minimizar la pantalla? ¡Gracias!

    ResponderEliminar
  4. Muy interesante, en mi caso, normalmente navego con un usuario sin derechos, curiosamente navegando se me metió este malware, como está bajo un usuario sin derechos, cambié de usuario fácilmente(a uno administrador), en este usuario pude abrir el administrador de tareas (no estaba afectado por el malware), analicé los procesos del usuario anterior, del afectado .

    De esta forma localicé el run32dll que originaba el fallo en el usuario afectado, lo maté facilmente y se soluciona.

    Siguiente paso que me queda pendiente borrarlo del arranque.

    ResponderEliminar
  5. A MI ME HA PASADO MIRA YO HISE L SIGUIENTE HE FORMATEADO EL ORDENADOR CON EL SANSU RECOVERI SOLUTION LE DI A RESTAURACION COMPLETA Y ASIN EELIMINADO TODO LOS DATOS DELA UNIDADDEL DISCO C AUNKE PERDFAIS LOS DATOS PERO ES UNA FORMA SEGURIA DE ELIMINAR EL VIRUS Y LUEGO NADA EL ORDENADOR COMO NUEVO ESPERO AVEROS AYUDADO ATENTAMENTE SELENA

    ResponderEliminar