Puesto que parece que sigue la “moda“, vamos a hablar un poco más de este malware que está afectando a tanta gente en España en los últimos días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos sofisticadas que las anteriores en algunos aspectos, más “malvadas” en otros… y poco detectadas.
ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.
Hace unos días recomendaba un método para prevenir la infección de una de las primeras variantes de este famoso malware que bloquea el acceso al sistema. Hemos monitorizado la base de datos para detectar otras muestras y, efectivamente, se están creando nuevas con ciertas diferencias. Uno de los ejemplares que hemos encontrado se distancia bastante del aparecido en junio de 2011. Veamos en qué.
La imagen
Como vemos en la figura, la imagen utilizada para el engaño es más burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir al usuario a que introduzca una prueba de pago en un formulario, pide que se envíe por correo a un dominio (cuerponational.org) que no existe.
El registro
La recomendación de la mayoría de los usuarios en Internet ante esta infección es que se entre en modo a prueba de fallos (F8) para que no se active y así poder “limpiarlo“. En principio, me chocaba este método, porque la muestra que conocía hasta ahora, sí se activaba en el modo a prueba de fallos también. Efectivamente, las nuevas variantes no lo hacen… pero porque no lo necesitan. ¿Significa que son más sencillas de “eludir” y así recuperar el control del sistema. Todo lo contrario.
Las primeras variantes modificaban esta rama del registro en XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Añadiendo en la directiva “shell”, el nombre del troyano, por ejemplo:
Shell=Explorer.exe, troyano.exe
O esta en Vista y 7:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Creando otra directiva llamada shell, con la ruta del troyano. Este método es muy efectivo, puesto que permite que el troyano también se active cuando se entra en “Modo seguro” (pulsando F8 durante el arranque).
La diferencia con esta nueva variante localizada, es que se copia a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Que es una zona mucho más común que usan tanto programas legítimos como malware… y que no se lanza en modo seguro. Esto sería una ventaja en teoría porque sería más sencilla su “eliminación manual“. Y decimos, “en teoría” porque lo que hace este troyano para impedirlo es destrozar el sistema para que nose inicie en modo seguro. Concretamente, borra las ramas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
que se encargan de arrancar el sistema en “Modo seguro” normal y con funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul. Lo curioso es que el malware realiza una “copia de seguridad” de lo que borra en otras ramas con nombres inventados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net
 |
| Rama del registro normal para el Modo Seguro |
 |
| Rama del registro modificada por el troyano |
No deja de ser curioso el intento de copia de seguridad. Si un usuario llegase a recuperar el control de su equipo, podría renombrar esas ramas y “restaurar” el sistema. También eliminar el troyano de la rama que hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos usuarios definidos en el sistema operativo. Sin embargo para prevenirlo… es más complejo. Podríamos igualmente proteger esas ramas del registro que corresponden del modo seguro para que no fuesen modificadas por el administrador (pero no he probado sus consecuencias a fondo, si las tuviera).
Detección antivirus
Según nuestra base de datos, esta muestra llegó por primera vez el 24 de febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente, el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8 motores de nuevo (parece que algunas firmas dejan de detectarlo por heurística, siendo exactamente la misma muestra). Finalmente, el día 26 de febrero es detectada por 24 motores.
Es posible que otras personas se hayan inspirado en el anterior para hacer un nueva variante, o que la misma banda haya querido añadir “complejidad“.
Más información:
Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
Máxima seguridad en Windows
http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html
http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html
Sergio de los Santos
Twitter: @ssantosv
si con una examinacion rapida de Malwarebytes y ya despues cuando detecto los elementos maliciosos y los elimino , ya habra desaparecido el virus?
Yo también me río de todos esos infelices: tengo un MAC y cuando me pasa esto solo tengo que forzar salida del navegador (Firefox en mi caso, para que luego digan los enterados) y borrar la caché… ¡¡¡Y listo!!!
También se elimina pasándote a Mac. Para Mac solo existen 38 (con un error de +-1) virus conocidos y basta con borrar la caché n casos como el que nos ocupa… ¡Ni siquiera bloquea el ordenador, puedes salir del navegador y hacer lo que te dé la gana!
Un saludo.
Rezar para que el virus no haya evolucionado. La mayoría de los antivirus no sirven y hay que buscar una solución personalizada a cada virus (o tipo) cuando te lo encuentras de nuevo.
una solucion para una mac xfa
Buenas noches , tengo 1 ipad air y esta tarde a mi.mujer le ha salido esta alerta policial pidiéndola 100 euros y bloqueando safari..como puedo desbloquearlo? Gracias
Buenas noches , tengo 1 ipad air y esta tarde a mi.mujer le ha salido esta alerta policial pidiéndola 100 euros y bloqueando safari..como puedo desbloquearlo? Gracias