elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de elhacker.net en ttwitter!


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderador: wolfbcn)
| | | |-+  Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....  (Leído 35,197 veces)
wolfbcn
Moderador Global
***
Desconectado Desconectado

Mensajes: 31.307



Ver Perfil WWW
Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« en: 22 Junio 2011, 01:47 »

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. Intenta que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."



La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20 minutos).

http://www.youtube.com/watch?v=4KtjhILjdjM&feature=player_embedded

Curiosidades:

* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.

* Comprueba la dirección IP, el user agent del navegador y el país de la IP y los muestra en pantalla para ganar credibilidad. Lo toma del servicio http://tools.ip2location.com/ib2/.

* Utiliza el logotipo oficial del cuerpo nacional de policía.

* El trabajo de traducción y la redacción son muy malas.

* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave creada en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Sergio de los Santos
 ssantos@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4623


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
XayOn

Desconectado Desconectado

Mensajes: 115


Hack the world


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #1 en: 22 Junio 2011, 18:35 »

Sobre el primer punto de curiosidades... Tecla windows + L.


En línea

WHK
吴阿卡
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.124


The Hacktivism is not a crime


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #2 en: 22 Junio 2011, 22:39 »

jajajaja y lo increhible es que muchos deben haber pagado creyendo que era verdad :xD
En línea

http://whk.elhacker.net - Drawcoders.cl - Cerebros OpenSource - The Hacktivism is not a crime -
MYASOFT8603

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #3 en: 23 Junio 2011, 00:50 »

Bueno,

Hoy me ha venido un colega con el portátil infectado con este programa/virus/putada. Él estaba un poco asustado, y con razón, pocas veces se ven cosas así, y de forma tan descarada.

Mi colega tiene Windows XP.

Lo primero que probé fue el administrador de tareas, que como bien dice aqui el compañero, no sirve de mucho, así como cualquier atajo de teclas de Windows. Así que opté por entrar en modo seguro, resultando otro fracaso.

He aquí la forma que he usado para deshacerme del dichoso programa para poder por lo menos hacernos una copia de seguridad de los datos.

Entramos a Windows en modo seguro con símbolo de sistema.

Abrimos el regedit para acceder al registro que nos ha comentado el compañero (gracias por facilitarlo, a mi me fue de ayuda ^.^) y observamos la ruta del dichoso archivo, que nos llevará (por lo menos en mi caso) a un ejecutable alojado en la carpeta del navegador Mozilla Firefox (no tengo conocimiento de cómo se propaga el dichoso virus, puede que esté alojado en la carpeta del Internet Explorer para los usuarios que utilicen este navegador) nombrado en mi caso con una serie de números.

Obviamente, borraremos el ejecutable que nos está causando problemas alojado en la carpeta que nos indicaba la dirección del registro, y cambiaremos el valor de "shell" por explorer.exe.

Cuando reiniciemos el sistema deberá iniciarse sin mayor problema, dándote la posibilidad de por lo menos manejar tus ficheros.

Espero que esta info sea de ayuda a quienes se hayan encontrado con este dichoso programita.

Un saludo.
« Última modificación: 23 Junio 2011, 00:55 por MYASOFT8603 » En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #4 en: 20 Agosto 2011, 19:57 »

Hola,

me ha aparecido hoy ese troyano en un netbook que tengo con Windows XP, estaba navegando tranquilamente con el firefox y de repente ZAS! se me bloqueó la pantalla. COn el aviso de la pornografía y todo eso. La diferencia es que no me aparece nada de la policía, me ponen unos artículos del código civil eso sí.

El caso es que pasa lo mismo que contaban y el ratón se queda bloqueado a una pequeña zona que te permite mover. Aparece también un contador de 24horas, que cada vez que inicio el ordenador va a menos para que ingrese el dinero o sino me lo deja bloqueado.

He probado las soluciones que decían abajo, pero no me funciona con el modo a prueba de errores, ni con funciones de red ni tampoco con el símbolo del sistema. al igual que si arranco la última configuración buena conocida.

Me funciona pulsar Tecla Windows + L para ir al cambio de usuario, pero el ratón sigue bloqueado y yo solo tengo un usuario en la máquina.

Además mi netbook no dispone de soporte cd para tratar de hacer un arraque con otro hirens o algo así por lo que no se muy bien que hacer.

Ojalá alguien me pueda ayudar ya que es el único sitio en la red en el que encontré algo de info sobre el tema y más que nada me gustaría recuperar los datos, ya os podéis imaginar, fotografías y sobre todo composiciones musicales que es lo que más me fastidia.

Muchas gracias
En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #5 en: 20 Agosto 2011, 20:28 »

Adjunto la imagen de la pantalla
En línea

BlackZeroX (Astaroth)
Wiki

Desconectado Desconectado

Mensajes: 3.184


I'Love...!¡.


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #6 en: 20 Agosto 2011, 20:38 »

jajajaja que chapuza, eso esatara bueno para hacer bromas mas que para otra cosa xP

Dulces Lunas!¡.
En línea




CScript (Actualizado 26/06/2013).

FileX <-- Re-modelando...
Web Principal-->[ Blog(VB6/C/C++) | Host File | Scan Port) ]

The Dark Shadow is my passion.
El infierno es mi Hogar, mi novia es Lilit y el metal mi relig
Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #7 en: 20 Agosto 2011, 20:39 »

Pues por lo de pronto a mi me han jodido el ordenador y no tengo forma de solucionarlo
En línea

Trane!

Desconectado Desconectado

Mensajes: 147


Welcome to New Radius!


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #8 en: 20 Agosto 2011, 21:40 »

Pues por lo de pronto a mi me han jodido el ordenador y no tengo forma de solucionarlo
En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #9 en: 20 Agosto 2011, 21:46 »

Gracias por la ayuda, una bonita canción que me ha ayudado a relajarme, ahora bien, gente que sepa como ayudar ya veo que en este foro ni p**a idea.  :rolleyes:
En línea

Páginas: [1] 2 3 4 5 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines