Puesto que parece que sigue la «moda«, vamos a hablar un poco más de este malware que está afectando a tanta gente en España en los últimos días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos sofisticadas que las anteriores en algunos aspectos, más «malvadas» en otros… y poco detectadas.
ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.
Hace unos días recomendaba un método para prevenir la infección de una de las primeras variantes de este famoso malware que bloquea el acceso al sistema. Hemos monitorizado la base de datos para detectar otras muestras y, efectivamente, se están creando nuevas con ciertas diferencias. Uno de los ejemplares que hemos encontrado se distancia bastante del aparecido en junio de 2011. Veamos en qué.
La imagen
Como vemos en la figura, la imagen utilizada para el engaño es más burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir al usuario a que introduzca una prueba de pago en un formulario, pide que se envíe por correo a un dominio (cuerponational.org) que no existe.
El registro
La recomendación de la mayoría de los usuarios en Internet ante esta infección es que se entre en modo a prueba de fallos (F8) para que no se active y así poder «limpiarlo«. En principio, me chocaba este método, porque la muestra que conocía hasta ahora, sí se activaba en el modo a prueba de fallos también. Efectivamente, las nuevas variantes no lo hacen… pero porque no lo necesitan. ¿Significa que son más sencillas de «eludir» y así recuperar el control del sistema. Todo lo contrario.
Las primeras variantes modificaban esta rama del registro en XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Añadiendo en la directiva «shell», el nombre del troyano, por ejemplo:
Shell=Explorer.exe, troyano.exe
O esta en Vista y 7:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Creando otra directiva llamada shell, con la ruta del troyano. Este método es muy efectivo, puesto que permite que el troyano también se active cuando se entra en «Modo seguro» (pulsando F8 durante el arranque).
La diferencia con esta nueva variante localizada, es que se copia a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Que es una zona mucho más común que usan tanto programas legítimos como malware… y que no se lanza en modo seguro. Esto sería una ventaja en teoría porque sería más sencilla su «eliminación manual«. Y decimos, «en teoría» porque lo que hace este troyano para impedirlo es destrozar el sistema para que nose inicie en modo seguro. Concretamente, borra las ramas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
que se encargan de arrancar el sistema en «Modo seguro» normal y con funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul. Lo curioso es que el malware realiza una «copia de seguridad» de lo que borra en otras ramas con nombres inventados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net
 |
| Rama del registro normal para el Modo Seguro |
 |
| Rama del registro modificada por el troyano |
No deja de ser curioso el intento de copia de seguridad. Si un usuario llegase a recuperar el control de su equipo, podría renombrar esas ramas y «restaurar» el sistema. También eliminar el troyano de la rama que hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos usuarios definidos en el sistema operativo. Sin embargo para prevenirlo… es más complejo. Podríamos igualmente proteger esas ramas del registro que corresponden del modo seguro para que no fuesen modificadas por el administrador (pero no he probado sus consecuencias a fondo, si las tuviera).
Detección antivirus
Según nuestra base de datos, esta muestra llegó por primera vez el 24 de febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente, el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8 motores de nuevo (parece que algunas firmas dejan de detectarlo por heurística, siendo exactamente la misma muestra). Finalmente, el día 26 de febrero es detectada por 24 motores.
Es posible que otras personas se hayan inspirado en el anterior para hacer un nueva variante, o que la misma banda haya querido añadir «complejidad«.
Más información:
Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
Máxima seguridad en Windows
http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html
http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html
Sergio de los Santos
Twitter: @ssantosv
Hola, cual el MD5 del dropper?
Gracias!
Seria posible recuperar esas entradas aunque sea de modo manual, arrancando con un ERD o con los Dart, No ¿?
A ver si cae en mis manos la variante y la pruebo, por que raro es el dia que no me venga un equipo con ese «virus»
olaa desde hace unos diaas tengo un virus en el k se han bloqueadoo toodas las aplicaciioones y al encendeerloo mee salee esaa paginaa y no se puuedee quiitar alguien sabe como arreglarlo? poor favor ayuudaa k tengoo un trabaajo muy importaantee!Gracias.
Insisto. Usen un sistema operativo de verdad y no la mierda de Windows.
Hola, a mi me paso y fue muy sencillo. Con el tuneup en modo prueba se crean dos enlaces en el inicio del pc, con eliminarlos he tenido suficiente. Ya se fue y nunca más volvio. Como te dice los ultimas modificaciones de programas que estan en inicio es muy sencillo de averiguar.
Saludos
A mi me pasó eso, pero me pedían 100 €. Me creó problema unos 15 minutos; el antivirus, Norton 360, me limpió y eliminó el archivo msdubmn.com que estaba situado en
c:\documents and settings\all users\local settings\temp
La aplicación dañina, si mostraba una dirección de e-mail, desconozco si verdadera o no:
einzahlung@inter-bundeskriminalamts.eu
Hola muy buenas precisamente ayer me aprecio el virus mutante este ahora viene con el sello de la policia y va con el sobrenombre de C.N.P B.I.T se hacen pasar por la brigada de investigacion tecnologica. Te piden lo mismo. los 100€ de ukash. no te deja hacer casi nada en el ordenador. El administrador de tareas no te va a servir de mucho. pork no te permite cerrar procesos ni crear procesos. Yo lo limpié cambiando de ventana con el teclado y a traves de la ventana. Intente inciciar el antivirus pero no me dejaba arrancarlo. acceso denegado me ponia. Despues fui a panel de control y hice un restaurar sistema y eso si que me funcionó. Espero que os sirva la informacion.
Hola, me ha aparecido el aviso este, y no me deja hacer nada en el ordenador!
He intentado restaurar el sistema, pero no he podido…
Qué tengo que hacer para removerlo manualmente? Por favor! No soy informática, así que explicadme sencillito
Muy urgente
Hola
En mi caso no exactamente como se detalla arriba. Desde Ejecutar, poner REGEDIT y accdeder a la ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Aqui tenemos lo que arranca al encender el PC
Habia una cadena extraña que no te decia nada con un text Hexadecimal.
Borrarla y punto
Si dudas antes de borrar en el menu superior puedes importar la cadena, te ofrece guardarla por ejemplo en el escritorio y a posterirori si no era la causa del problema ejecutas el programa .reg que se ha guardado en escritorio y se volveria a escribir la cadena donde estaba
Suerte
Sobre el comentario anterior queria decir EXPORTAR la cadena
Suerte igual
alguien puede explicarme que hacer para podr quitar este virus que tengo en mi otro pc porfavor
Hoy a mi me ha pasado. he tenido un sust buff. Ojo donde os metáis, puede que te lanzen estos virus.Yo he reciniado el ordenador y he apretado f8 y luego algo de sistema de red y ya ha funcionado, luego psar el antivirus y entoces formatear el ordenador. Son unos .,…..
AnónimoMar 11, 2012 02:42 PM
A mi me pasó eso, pero me pedían 100 €. Me creó problema unos 15 minutos; el antivirus, Norton 360, me limpió y eliminó el archivo msdubmn.com que estaba situado en
c:\documents and settings\all users\local settings\temp
La aplicación dañina, si mostraba una dirección de e-mail, desconozco si verdadera o no:
einzahlung@inter-bundeskriminalamts.eu
Buenas.
Os cuento que el mismo malware se le metio al ordenador de mi novia, solo que en frances, supongo que detecta el idioma y carga algun traductor, esto lo deduje por los errores ortograficos mas una imagen de unos oficiales donde decia «policia» en el uniforme, en español!!! jaja
Yo luego de pelear un rato logre solucionarlo de la siguiente forma:
Inicie el ordenador con un cd booteable de linux ubuntu 10.1, e inicie en modo de prueba, vale decir que se carga todo en memoria. Luego accedi al dusco principal y busque en la ruta que dice el colega citado, solo que en esta ocacion el archivo maldito tenia una extension diferente, lo encontre como «msdubmnd.scr», aproveche a revisar todas las cuentas de usuarios en busca de temporales y borre todo. Reinicie y listo, luego solo resta verificar con el antivirus y los registros para asegurar que todo este en orden.
Saludos
Tengo una modalidad del virus que(mi sistema es un XP):
-no permite iniciar en modo seguro
-no permite iniciar simbolo del sistema
-Puedo arrancar el ordenador en la ultima configuracion(pero sin privilegios de administrador aunque mi cuenta los tenia). Esto solo si no estoy conectado a internet. Cuando me conecto aparece la pantalla bloqueandome.
-Los codigos 1029384756 y QRT5T5FJQE53BGXT9HHJW53YT no funcionan.
-Con la pantalla bloqueando el ordenador no puedo utilizar Tabulador+Alt
-Iniciando, como me permite, no puedo acceder al registro ni a los puntos de reinicio, ni nada util.
Les agradeceria si pudieran ayudarme.
Gracias
Tengo una modalidad de virus que(mi sistema es un XP):
-no permite iniciar en modo seguro
-no permite iniciar simbolo del sistema
-Puedo arrancar el ordenador en la ultima configuracion(pero sin privilegios de administrador aunque mi cuenta los tenia). Esto solo si no estoy conectado a internet. Cuando me conecto aparece la pantalla bloqueandome.
-Los codigos 1029384756 y QRT5T5FJQE53BGXT9HHJW53YT no funcionan.
-Con la pantalla bloqueando el ordenador no puedo utilizar Tabulador+Alt
-Iniciando como me permite no puedo acceder al registro ni a los puntos de reinicio, ni nada util.
Les agradeceria si pudieran ayudarme.
Gracias
A mi me pareció el dia 30 la variante (en XP) que no te permite entrar en ningún modo seguro y que además me había secuestrado todas las cuentas de usuario.
Lo he conseguido quitar mediante el Kaspersky recue disk que trae también un editor del registro de windows. El virus aparecía en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
en la cadena userinit junto con userinit.exe en el direcctorio
c:\WINDOWS\system32\1526DD7E64BD98C8182E.exe
Una vez eliminado el virus desapareció. No se si el kaspersky lo hubiera reconocido.
Hola. Tuve el problema recientemente y lo solucioné así (XP):
-F5 durante el arranque.
-Seleccionar modo de restauracion de SD.
-Instalar, actualizar y pasar «Malwarwbytes anti-malware». Lo detecta y elimina.
Ignoro si me ha causado daños o sigue escondido por ahí… pero el PC vuelve a funcionar. Espero que a alguien le sirva. Saludos.
Ya he solucionado el problema. Para aquellos que el virus no les deje iniciar en modo seguro yo utilice el DR.WEB. Es un disco de arranque con un anti-virus. Lo descargas en otro ordenador, lo gravas en un CD, arrancas con el CD el ordenador infectado y le pasas al antivirus y listo, solucionado.
Como ya estaba en faena tambien hice lo mismo con el Avira, por si las moscas.
una pregunta entnces cuando descubriste el archivo lo borraate de
c:\documents and settings\all users\local settings\temp i listo???
a mi me paso en dos ordenadores uno xp y el otro win7:
en win7 arranque en modo seguro simbolo windows restaure el sistema en un punto anterior y solucionado
con xp arraque en modo seguro analize con walwarwbytes anti-malware lo detecto y lo elimino solucionado
Despues de eliminarlo y recuperar parte de las funciones del sistema, no salia el taskmgr.exe y es debido a una linea en el registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
«Debugger»=»P9KDMF.EXE»
Me falta recuperar el modo seguro y no se que mas.
Hombre PODIAIS DECIR LO MÁS FÁCIL. !!!ACTUALIZA TU JAVA!!!
Algunos tambien modifican boot.ini
a mi hace poco me ha pasado, y no me dejo ni entrar en modo seguro, me toko reiniciar el ordenador desde la configuracion de fabrica, no me dejab hacer praticamente nada, no se si yo fui muy incopentente, o el virus habra mejorado, la cuestion es ke perdi toda mi informacion, ahora funciona esperemos que siga asi
A mi me ha pasado exactamente igual hoy y he hecho lo mismo «restaurar el sistema» y parece que funciona. luego le he pasado el antivirus y me ha detectado un troyano.. espero que esto sea todo y no siga mi equipo infectado, no se si tengo que hacer algo mas..
Gracias «Anónimo 3 de abril de 2012 08:38», siguiendo tus indicaciones he podido recuperar el control sobre el ordenador.
Mil millones de gracias para Anónimo18 de abril de 2012 15:17
Después de eliminar el virus de la policia me estaba volviendo loca tratando de recuperar el taskmgr.exe
A mi me ha estropeado el disco duro del ordenador, se expandio por todas partes. Si no estan segur@s al 100×100 de como solucionarlo, mejor no toquen el ordenador y llevenselo a alguien que entienda.
Yo tambien tube este virus de la policia y lo elimine entrando en modo seguro y pasando malwarebytes. Aparentemente quedo resuelto, pero ahora veo que no funciona windows update, es mas no aparece ni en la lista de servicios locales, no se que hacer ya con el p… virus este, si os a pasado lo mismo os agradeceria que me ayudarais.
Un saludo.
Gracias.
Bravo !!!
Gracias !!!
¿pero es que ustedes no tienen suficientes problemas en la vidad diaria, que insisten en usar windows como sistema operativo? Usen un s.o. de verdad(como dijeron más arriba..) y olvidense de los virus!! que la vida es muy corta, como para perder tiempo y dinero con mierda de virus y bsod's…
Yo uso linux, y cada vez que veo una noticia de estas, me rio un montón..jajajaja!! esque la gente no aprende..que le vamos a hacer..
Ayer al arrancar mi máquina, decubrí que tenía un virus..por lo visto se llama Windows(lo hay en diferentes variantes, una se llama XP, otra Vista, otra W7, y comentan por ahí que ha salido uno nuevo que se llama Windows8, que es aún más peligroso!!)
Mi amigo me dijo que la única solución era quemar el ordenador rápidamente y desinfectarme todo el cuerpo con salfumant y alcohol de 96º(ya saben que los virus se contagian muy rápidamente..y así lo hice..), pero por los comentarios que leo aquí, no sirvió de mucho y esto se ha convertido en pandemia!!
Mi consejo: ¡déjenlo todo y salgan corriendo de casa! cojan el primer barco-avión-bicicleta-tren o lo que tengan a mano, y emigren a la antártida, ahí creo que no llega windows..(o sí?? quizás en la Estación Internacional Antártica no usen SS.OO-GNU/Linux..Dios mío!!noooooooo!!)
Para ser Windows el sistema operativo más utilizado, hay un montón de linuxeros por aquí (y esperemos que al menos sea verdad de que usen Linux…al menos saben escribirlo) XD. ¿De verdad pesais que utilizar Linux soluciona el problema de los virus?
Saludos
El problema que me pasa, es que no me abra en modo seguro. Vuelve al inicio una y otra vez. No se lo que hacer.
En windows 7 sino deja entrar en en modo seguro presionando F8 prueba primero con F5 y despues de de que apareca la primera pantalla presionais F8,despues aparecera la pantalla que te da las occiones de de modo seguro a prueba de fallos ect ect,entrais en (reparar sistema)y desde alli podeis hacer una restauracion del sistema al un punto anterior ha la infeccion,dado que de cualqier otra manera no te deja hacer la restauracion del sistema porque el virus desactiva esa occion en el rejistro,despues si quereis podeis entrar en el rejistro y volver ha activar restaurar sistema.
Sin duda lo mejor del troyano es la traducción de «Back» (volver) como «Espalda». Estos hackers son cada vez más retrasados.
a mi me paso en ordenador win7:
hay que encender en modo seguro (f5 y f8)y después instalar el antivirus,…reiniciar y ya te limpia el antivirus,…yo lo hice con norton, el Malwarwbytes anti-malware» me limpió 25 archivos infectados pero no el troyano q lo eliminó el norton…por favor, denuncienlo a la policía estas estafas.gracias
pasa un antivirus y que analice el sistema…el Malwarwbytes anti-malware solo limpia para que funcione pero no los rastros del virus…
Muchas gracias, lo he solucionado así
kk honda …. tengo win xp y win7 instalado… pense que cuando los intentara borrar desde win xp (el virus lo tengo en win 7) lo iva a poder borrar pero no se pudo… que puedo hacer ???
Muchisimas gracias! Me funciono a la perfeccion. Me estaba volviendo loco ya que esta nueva version del virus no me dejaba abrir en modo seguro pero segui tus pasos y solucionado. Mil gracias otra vez.
Un saludo
instala kaspersky en xp y haz un examen completo dl equipo
Ya me ha entrado dos veces el dichoso virus de la policía. La primera vez lo solventé entrando en «Modo seguro» fuí a «Restaurar el sistema» y arreglado.
La segunda no me dejaba en «Modo seguro» y entré en «Modo de restauración», bueno, el tercer modo que hay. No puede entrar a «Restaurar el sistema», no me dejaba, asi que instalé el Malwarebytes anti-malware, y listo. Pero ahora me he dado cuenta de que no puedo entrar por ningún modo de los tres que hay. Lo de «Reiniciar el sistema» lo arreglé desinstalándolo y volviendo a instalar. Pero sigo sin poder entrar en ningún modo. ¿Que es lo que tengo que hacer en el caso de que me vuelva a entrar el mismo virus u otro? Ayuda por favor.
Perfecto amigo, muchas gracias eliminada esa cadena hexadecimal y se soluciono todo. Eres un fenomeno
te agradezco hermano, me salvaste la chamba………..xD, es de mi trabajo la lap, saludos
al principio pude acceder al administrador de tareas pero despues ya ni eso pude..!! ahora mi cursor no se mueve y mi pantalla cambio de color ..
instala malwaresbytes en otra pc ,kita tu disco duro infectado y conéctalo de forma externa como si fuera un usb y scanealo con malwaresbytes después del scaneo saldrán los virus eliminalos
y listo
HAGANME CASO Y SIGAN LA SOLUCION DE ESTE USUARIO FUNCIONA PERFECTAMENTE EN CASOS DE QUE EL VIRUS NO TE DEJE ACCEDER A NINGUN SITIO O TE REINICIE EK EQUIPO CUANDO ENTRAS EN EL MODO SEGURO. ERES UN GENIO! MUCHAS GRACIAS
uf… menos mal que alguien tiene humor frente a este virus infernal
si con una examinacion rapida de Malwarebytes y ya despues cuando detecto los elementos maliciosos y los elimino , ya habra desaparecido el virus?
Yo también me río de todos esos infelices: tengo un MAC y cuando me pasa esto solo tengo que forzar salida del navegador (Firefox en mi caso, para que luego digan los enterados) y borrar la caché… ¡¡¡Y listo!!!
También se elimina pasándote a Mac. Para Mac solo existen 38 (con un error de +-1) virus conocidos y basta con borrar la caché n casos como el que nos ocupa… ¡Ni siquiera bloquea el ordenador, puedes salir del navegador y hacer lo que te dé la gana!
Un saludo.
Rezar para que el virus no haya evolucionado. La mayoría de los antivirus no sirven y hay que buscar una solución personalizada a cada virus (o tipo) cuando te lo encuentras de nuevo.
una solucion para una mac xfa
Buenas noches , tengo 1 ipad air y esta tarde a mi.mujer le ha salido esta alerta policial pidiéndola 100 euros y bloqueando safari..como puedo desbloquearlo? Gracias
Buenas noches , tengo 1 ipad air y esta tarde a mi.mujer le ha salido esta alerta policial pidiéndola 100 euros y bloqueando safari..como puedo desbloquearlo? Gracias