elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderador: wolfbcn)
| | | |-+  Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....  (Leído 33,842 veces)
wolfbcn
Moderador Global
***
Desconectado Desconectado

Mensajes: 27.541



Ver Perfil WWW
Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« en: 22 Junio 2011, 01:47 »

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. Intenta que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."



La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20 minutos).

http://www.youtube.com/watch?v=4KtjhILjdjM&feature=player_embedded

Curiosidades:

* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.

* Comprueba la dirección IP, el user agent del navegador y el país de la IP y los muestra en pantalla para ganar credibilidad. Lo toma del servicio http://tools.ip2location.com/ib2/.

* Utiliza el logotipo oficial del cuerpo nacional de policía.

* El trabajo de traducción y la redacción son muy malas.

* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave creada en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Sergio de los Santos
 ssantos@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4623


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
XayOn

Desconectado Desconectado

Mensajes: 115


Hack the world


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #1 en: 22 Junio 2011, 18:35 »

Sobre el primer punto de curiosidades... Tecla windows + L.


En línea

WHK
吴阿卡
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.855


The Hacktivism is not a crime


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #2 en: 22 Junio 2011, 22:39 »

jajajaja y lo increhible es que muchos deben haber pagado creyendo que era verdad :xD
En línea

http://whk.elhacker.net/ - The Hacktivism is not a crime - Cerebros OpenSource -
MYASOFT8603

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #3 en: 23 Junio 2011, 00:50 »

Bueno,

Hoy me ha venido un colega con el portátil infectado con este programa/virus/putada. Él estaba un poco asustado, y con razón, pocas veces se ven cosas así, y de forma tan descarada.

Mi colega tiene Windows XP.

Lo primero que probé fue el administrador de tareas, que como bien dice aqui el compañero, no sirve de mucho, así como cualquier atajo de teclas de Windows. Así que opté por entrar en modo seguro, resultando otro fracaso.

He aquí la forma que he usado para deshacerme del dichoso programa para poder por lo menos hacernos una copia de seguridad de los datos.

Entramos a Windows en modo seguro con símbolo de sistema.

Abrimos el regedit para acceder al registro que nos ha comentado el compañero (gracias por facilitarlo, a mi me fue de ayuda ^.^) y observamos la ruta del dichoso archivo, que nos llevará (por lo menos en mi caso) a un ejecutable alojado en la carpeta del navegador Mozilla Firefox (no tengo conocimiento de cómo se propaga el dichoso virus, puede que esté alojado en la carpeta del Internet Explorer para los usuarios que utilicen este navegador) nombrado en mi caso con una serie de números.

Obviamente, borraremos el ejecutable que nos está causando problemas alojado en la carpeta que nos indicaba la dirección del registro, y cambiaremos el valor de "shell" por explorer.exe.

Cuando reiniciemos el sistema deberá iniciarse sin mayor problema, dándote la posibilidad de por lo menos manejar tus ficheros.

Espero que esta info sea de ayuda a quienes se hayan encontrado con este dichoso programita.

Un saludo.
« Última modificación: 23 Junio 2011, 00:55 por MYASOFT8603 » En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #4 en: 20 Agosto 2011, 19:57 »

Hola,

me ha aparecido hoy ese troyano en un netbook que tengo con Windows XP, estaba navegando tranquilamente con el firefox y de repente ZAS! se me bloqueó la pantalla. COn el aviso de la pornografía y todo eso. La diferencia es que no me aparece nada de la policía, me ponen unos artículos del código civil eso sí.

El caso es que pasa lo mismo que contaban y el ratón se queda bloqueado a una pequeña zona que te permite mover. Aparece también un contador de 24horas, que cada vez que inicio el ordenador va a menos para que ingrese el dinero o sino me lo deja bloqueado.

He probado las soluciones que decían abajo, pero no me funciona con el modo a prueba de errores, ni con funciones de red ni tampoco con el símbolo del sistema. al igual que si arranco la última configuración buena conocida.

Me funciona pulsar Tecla Windows + L para ir al cambio de usuario, pero el ratón sigue bloqueado y yo solo tengo un usuario en la máquina.

Además mi netbook no dispone de soporte cd para tratar de hacer un arraque con otro hirens o algo así por lo que no se muy bien que hacer.

Ojalá alguien me pueda ayudar ya que es el único sitio en la red en el que encontré algo de info sobre el tema y más que nada me gustaría recuperar los datos, ya os podéis imaginar, fotografías y sobre todo composiciones musicales que es lo que más me fastidia.

Muchas gracias
En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #5 en: 20 Agosto 2011, 20:28 »

Adjunto la imagen de la pantalla
En línea

BlackZeroX (Astaroth)
Wiki

Desconectado Desconectado

Mensajes: 3.182


I'Love...!¡.


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #6 en: 20 Agosto 2011, 20:38 »

jajajaja que chapuza, eso esatara bueno para hacer bromas mas que para otra cosa xP

Dulces Lunas!¡.
En línea




CScript (Actualizado 26/06/2013).

FileX <-- Re-modelando...
Web Principal-->[ Blog(VB6/C/C++) | Host File | Scan Port) ]

The Dark Shadow is my passion.
El infierno es mi Hogar, mi novia es Lilit y el metal mi relig
Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #7 en: 20 Agosto 2011, 20:39 »

Pues por lo de pronto a mi me han jodido el ordenador y no tengo forma de solucionarlo
En línea

Trane!

Desconectado Desconectado

Mensajes: 143


Welcome to New Radius!


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #8 en: 20 Agosto 2011, 21:40 »

Pues por lo de pronto a mi me han jodido el ordenador y no tengo forma de solucionarlo
En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #9 en: 20 Agosto 2011, 21:46 »

Gracias por la ayuda, una bonita canción que me ha ayudado a relajarme, ahora bien, gente que sepa como ayudar ya veo que en este foro ni p**a idea.  :rolleyes:
En línea

Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.683


Yo que tu lo pienso dos veces


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #10 en: 20 Agosto 2011, 21:59 »

Será que deberías de preguntar en el subforo de seguridad? :silbar:


Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Songoku
Supersayan y
CoAdmin
***
Desconectado Desconectado

Mensajes: 14.422


Supersayan


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #11 en: 20 Agosto 2011, 22:05 »

Falvan usa el kaspersky rescue disk actualizado para acabar con el malware, y cuando digo actualizado quiero decir que lo actualices online antes de correrlo. Claro esta que el iso no del citado antivirus no lo deberas grabar en un cd sino un pendrive usando para ello el unebootin o el mismo ultraiso.
Saludos...

Songoku
En línea

  

http://lawebdegoku.es                   http://webdegoku.es
scr21


Desconectado Desconectado

Mensajes: 433



Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #12 en: 20 Agosto 2011, 22:22 »


JAJAJAJAJAJAAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJAJ
pero vamos a ver, si a tanta gente le entra ese troyando digo yo que haran algo o entraran a un determinado sitio en el que te entra no?
En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #13 en: 20 Agosto 2011, 22:41 »

Perdón por no haber colocado esto en el foro correcto, fue una de las primeras referencias que encontré en la red en donde se diera algo de información interesantes sobre el problema este.

Songoku, gracias por tu consejo, ahora mismo estaba probando con un autoboot que hice para el usb con el Hirens 14 que me trae el Avira y el Dr.Web. Antes le pasé el spybot pero no encontró absolutamente nada.

Supongo que se trata de una derivación del virus ese con la pantalla de la policía, pero la verdad es que no di localizado en la red ninguna versión con la pantallita que me ha salido a mi.
En línea

Páginas: [1] 2 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines