Foro de elhacker.net

Desde hace unas semanas veníamos observando que las visitas y comentarios en una noticia sobre un troyano de junio de 2011, aumentaban. Los usuarios buscaban información en Google, acababan en el artículo, y preguntaban. Las menciones en medios generalistas lo confirmaban: el troyano se pone de moda y afecta a muchos usuarios. Veamos cómo protegerse de verdad.

En junio de 2011 publicábamos esta noticia: "Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico (http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html)". Incluía un vídeo demostración del troyano. Bloqueaba el sistema con la siguiente excusa:

 En nombre de la policía nacional, le acusa de: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

 El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado:  "Pagan una multa policialfalsa por ver porno en sus ordenadores" (http://www.lavozdegalicia.es/noticia/pontevedra/2012/02/24/pagan-multa-policial-falsa-ver-porno-ordenadores/0003_201202P24C8991.htm)

 Resulta cuando menos curioso que casi nueve meses después de ser "descubierto", el troyano protagonice titulares en medios generalistas, y la infección llegue a tantos usuarios. Sobre todo, porque no es especialmente sofisticado. Incluso, es bastante detectado por los sistemas antivirus, y no existen demasiadas variantes en nuestra bases de datos (o sea, que parece ser que viene siendo exactamente el mismo fichero que en junio de 2011 el que está infectando a tanta gente).

 Cómo protegerse

 Puesto que estamos recibiendo numerosas consultas sobre el asunto, vamos a ofrecer una solución real contra este y cualquier otro tipo de troyano parecido que aparezca en el futuro. Por supuesto, la prevención pasa por evitar ejecutar archivos desconocidos, y actualizar el software para que no contenga vulnerabilidades. Si aun así, no nos fiamos de nosotros mismos, la buena noticia es que es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar nuestro sistema.

 El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo.

 Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

 En XP, la rama del registro que modifica es:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

 Shell=Explorer.exe, troyano.exe

 Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

 En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 Aquí crea otra directiva llamada shell, con la ruta del troyano.

 (http://4.bp.blogspot.com/-S5Pz488AxwM/T0yddJF_NBI/AAAAAAAAAU0/wuQTK9vcfCw/s640/reg5_.png) (http://4.bp.blogspot.com/-S5Pz488AxwM/T0yddJF_NBI/AAAAAAAAAU0/wuQTK9vcfCw/s1600/reg5_.png)

 En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

 Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos.

 (http://1.bp.blogspot.com/-7PgW4v40AUw/T0yduBYZOrI/AAAAAAAAAU8/DOJ2nsEWXB4/s1600/reg1_.png) (http://1.bp.blogspot.com/-7PgW4v40AUw/T0yduBYZOrI/AAAAAAAAAU8/DOJ2nsEWXB4/s1600/reg1_.png) (http://1.bp.blogspot.com/-BaavnnDKmFQ/T0yd30ZHjLI/AAAAAAAAAVE/izcmZOAIcuk/s1600/reg2_.png) (http://1.bp.blogspot.com/-BaavnnDKmFQ/T0yd30ZHjLI/AAAAAAAAAVE/izcmZOAIcuk/s1600/reg2_.png)

 Luego eliminamos los permisos de escritura, para administradores y usuarios.

 (http://4.bp.blogspot.com/-yBcC4LB-JTk/T0yeGezt4TI/AAAAAAAAAVM/kwRI44OkLQM/s1600/reg3_.png) (http://4.bp.blogspot.com/-yBcC4LB-JTk/T0yeGezt4TI/AAAAAAAAAVM/kwRI44OkLQM/s1600/reg3_.png)

 Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave".

 (http://1.bp.blogspot.com/-G7VE7cUHocU/T0yemw_twJI/AAAAAAAAAVU/ar4tSFjpqOU/s1600/reg4_.png) (http://1.bp.blogspot.com/-G7VE7cUHocU/T0yemw_twJI/AAAAAAAAAVU/ar4tSFjpqOU/s1600/reg4_.png)

 Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.

 Más información:

 Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico  http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html (http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html)

 Una estafa informática te acusa de descargar pornografía y exige 100 euros para solucionarlo  http://www.cadenaser.com/tecnologia/articulo/estafa-informatica-acusa-descargar-pornografia-exige-euros-solucionarlo/csrcsrpor/20120215csrcsrtec_1/Tes (http://www.cadenaser.com/tecnologia/articulo/estafa-informatica-acusa-descargar-pornografia-exige-euros-solucionarlo/csrcsrpor/20120215csrcsrtec_1/Tes)

 "Pagan una multa policial falsa por ver porno en sus ordenadores"  http://www.lavozdegalicia.es/noticia/pontevedra/2012/02/24/pagan-multa-policial-falsa-ver-porno-ordenadores/0003_201202P24C8991.htm (http://www.lavozdegalicia.es/noticia/pontevedra/2012/02/24/pagan-multa-policial-falsa-ver-porno-ordenadores/0003_201202P24C8991.htm)


FUENTE :http://www.laflecha.net/canales/seguridad/noticias/vuelve-el-troyano-que-se-hace-pasar-por-la-policia-como-protegerse-de-verdad

Supongo que es un artículo útil...
1) Si usas Windows...
2) ...Para ver zoofilia...
3) ...Mezclada con CP.

¿Y encima es un troyano de moda?
Este mundo está verdaderamente enfermo.

Comportamiento de Virus en plataformas Windows
http://www.elhacker.net/comportamiento-virus.html

¿Cómo protogerse?

Actualizando flash player

Actualizando Java:

http://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html

¿Alguien tiene una muestra del virus? Es para poder mirar si realmente usa una vulnerabilidad de flash.

Hola:
He sufrido el "virus de la policia", me vi obligado a hacer el pago de 100 Euros, PERO no sirvio de nada, ya que no desbloquearon el equipo. Al final tube que recurrir a un informático para resolver el problema.
ATENCION: No pageis, NO sirve de nada, No desbloquean el equipo.

¿Por qué hiciste el pago? ¿Tienes pornografía infantil en tu PC?

El otro dia me tope con otra variante del citado virus de la que hasta ahora no e leido nada por la red. En esta variante el virus no se carga desde la shell que deberia cargar al explorer si no que se carga en el inicio de windows como cualquier otra aplicacion que se inicia con windows, esta entrada ya no recuerdo bien pero apunta al svchost.exe y a su vez luego tiene parametros para que se cargue el virus que esta en una carpeta temporal y para que se cargue el IE con una url que es la que muestra la tipica interfaz del virus donde dice que es la policia y tal y pide los 100 euros. Esta ventana del IE es a pantalla completa de modo que no hay posibilidad de cerrarla porque ademas el virus deshabilita el administrador de tareas y tampoco sucede nada si se presiona la tecla de windows de modo que es imposible escapar de esa ventana del IE donde te pide el dinero, aunque eso si durante un segundo se llega a ver el escritorio de windows que esta por detras de esta extraña ventana del IE antes de que se cargue.
Por desgracia no recuerdo ahora la ruta del virus ni los parametros que metia en la entrada del registro al inicio de windows (tendria que haberlo apuntado) asi que no puedo dar mas detalles, y tampoco apunte la url donde iba el IE para mostrar la tipica interfaz del virus pidiendo el dinero y tal. En cualquier caso el virus se elimina muy facilmente iniciando el pc el modo seguro con simbolo del sistema, y cargando desde la ventana de ms-dos el explorer para asi abrir el msconfig o bien desde el ms-dos cargar el regedit y quitar esa clave del registro que inicia el virus al inicio del sistema. Una vez echo eso solo hay que reiniciar ya en modo normal y desde el regedit volver a habilitar el administrador de tareas asi como borrar los temporales para eliminar el ejecutable del virus (aunque da igual si se le borra como si no porque ya no se carga).
Saludos...

Songoku

Por supuesto que no, pero si no sabes mucho de informática como es mi caso, no había manera de desbloquear el equipo. Aunque como digo No sirve de nada pagar. He interpuesto una denuncia ante la policia y puesto mi PC a su disposición aunque no creo que sirva de nada.

Me pasa lo mismo en un portatil Acer con Windows 7 64bits, no me aparece la linea en el shell...

 si alguien recuerda como deshacerse del puñetero bicho (quiza mi problema sea el mismo que el de Songoku..) vaya ganas de fastidiar !!!

saludos.

Tengo una pequeñita tienda de informática y me han venido 5 equipos con ello uno con el vista lo he solucionado con el Rkill, http://goo.gl/NSl6j

el resto con el polifix os dejo el enlace con la explicación
http://goo.gl/Sm87e

espero os sirvan no doy toda la explicación pues ahí la tenéis super detallada y explicada al detalle incluso con imágenes.

Suerte

Mi problema es peor, ya que ni rkill ni procesos manuales consiguen quitar el maldito bicho.

En el registro de windows no me aparecen las modificaciones mencionadas :( El inicio está como siempre (visto desde msconfig).

Se quita en modo seguro con Rkill y y un escaneo con malwarebytes.

Anonymous250, así lo hacía y nada de nada. Fíjate que comento que mi versión no modifica las claves de registro mencionadas:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

o

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Más información útil http://www.forospyware.com/t418289.html (http://www.forospyware.com/t418289.html)

Pues yo se lo quite a mi viejo pasando a modo seguro pasando el antivirus y un antitrojan y despues limpiando manualmente las entradas del registro (winlogon y run, que son las que cambia normalemente) y listo, como nuevo.

nadie aprovechando la anonomidad de los foros dice como cree que le ha entrado o si hay forma de prevenirlo

A mi padre probablemente por el porno xDD

Creo que se cuela aprovechando java ,por lo que e visto en una version.

Seguramente paginas fakes.

Yo quite uno asi,nose puede que haya una version mas potente.

Tengo el avg que se actualiza a diario y me ha entrado. Lo único que estaba descargando era un torrent.
Pero lo dicho... restaurando a un estado anterior lo he quitado

Pues en mi caso con la de hoy han sido 4 veces las que he limpiao el ordenador de la oficina, es el virus del caso de Songoku, no es el tipico de arriba del todo, la pagina que muestra es mucho mas elaborada, ademas del logo de la policia aparece el del interior con un encabezado como el de páginas oficiales incluso con publicidad de Telefonica, telecorr y otras empresas mas que tienen servicios de pago, jajajaja da hasta varias opciones de pago.

Sinceramente cada vez que lo he limpiado ha sido en un sitio diferente, la única forma con la que he podido limpiarlo esta vez ha sido entrando en modo a prueva de fallos en la cuenta afectada y pasar malwarebytes, el resto de programas/antivirus/anti-spy se los ha pasao por el forro o el propio virus bloqueaba su instalación. Por no decir que me he pegao mas de una hora comprobando una ingente cantidad de entradas de registro posiblemente afectadas sin ningun resultado...

Viendo páginas de sexo duro pienso yo, descargando xploits de sitios indebidos, oo... desactivando el antivirus :/

Creo que yo me infecte a traves de un mail de un alta de un servicio de una aplicación para el ipad. Eso creo. La plicacion puede ser una que es para ver la programacion española del TDT. Espero que esto le sirva a alguien.

A ver. Yo me he infectado abriendo un archivo de una serie de "series yonk..."
nada de porno raro ni rollos malos. Para los listos/as no hace falta enredar mucho (como mi caso para resfriarte). Las variantes del troyano son varias. Desde la de HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, ó  la del HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
donde se ubica en un "shell", hasta la que me ha ocurrido a mí y creo que más arriba ya se ha comentado (w7-64), que no es posible encontrar el shell. Para este caso, despues del pantallazo de intento de engaño, que tapa la pantalla por completo y su funcionalidad de accesos a iconos disponible, y despues de comprobar esa inexistencia del shell mediante ctrl+alt+ supr, para iniciar el admtrador de tareas (que por cierto no es posible activarlo directamente en el desplegable que aparece, sino que "engañando" al troyano con velocidad hay que dar al botoón de abajo a la dcha: reiniciar y en esos escasos momentos del nuevo proceso o despues de indicar el sistema que hay que esperar porque el sistema nos anuncia que un momento y pregunta si deseas cancelar el reinicio o inducirlo automáticamente, a lo cual respondemos que cancelar para que se quede ese ratito pensando; volvemos ahora que está activo el sistema a presionar ctrl+alt+ supr; y ahora sí entramos en el admtrador de tareas) Dentro del administrador: entramos en aplicaciones/nueva tarea/abrir, y escribimos Regidit y entramos en el registro para buscar las entradas que anteriormente puse.
Pues como yo no tenía esas entradas, sencillamente reinicie y entre con F8 en el arranque y a modo de fallos (1ªentrada de las posibles que te ofrece) Luego hice una restauración del sistema a una fecha antigua y funcionó.
Que conste que tengo actualizado el reader y java así como el antivirus,... pero se coló.
Lo último es pagar (no vale de nada) o formatear.
Espero haber ayudado a alguien a pesar de mi rollo (lo siento).
Lo que no estoy seguro ya, es cómo prevenirlo, debido sobre todo a las variantes

ya hay varias mutaciones / variantes del virus,
el primero se puede eliminar modificando el registro con regedit,
la segunta entrando en modo seguro y usando el malwarebytes,
y la ultima variante del virus de la policia no arranca ni en modo seguro,
hay que encender con un CD metido en el ordenador y arrancar desde él,
es un BOOT CD de AVIRA, que lo desinfecta, a mi me funcionó.
Aquí un tuto.http://goo.gl/y1OEa (http://goo.gl/y1OEa)
Suerte, y no paguéis, conozco gente que se lo ha creído y ha pagado!

Hola, no puedo acceder al equipo, en seguida sale la ventana del virus. He probado ALT y TABULADOR. Ni restaurar sistema, ni modo seguro ni nada. Sale siempre el virus. ¿Qué puedo hacer para pasar el programa que recomendáis de limpieza?

Gracias.

Inicia desde el CD un LiveCD antimalware, más arriba aconsejan el de Avira, el de Kaspersky tambien elimina ese Ramsonware...

LiveCD Avira: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso

LiveCd Kaspersky: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Saludos.

Gracias r32, el caso es que es un portatil y no tiene reproductor de CD. Quizá con un lápiz USB. ¿Cómo hacerlo, cómo acceder a él si en seguida me sale la ventana del virus y no hay manera de entrar en el equipo?

Para los que tengan el problema de que no tiene lectora de CD, pueden usar el programa UNetbootin, seguir las instrucciones del siguiente documento:

http://ns2.elhacker.net/aio/Instrucciones%20para%20grabar%20los%20LiveCD%20en%20una%20unidad%20USB.pdf

Pueden consultar la información que da directamente la policía en este enlace:

https://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=2984&Itemid=197

Además el CCN-CERT dice cómo limpiar el equipo...

actualicen su version de java el troyano explota una vulnerabilidad en java ademas en las nuevas mutaciones es mas dificil detectarlo ya que cuando explota la vulnerabilidad en java lo que hace es descargarse a si mismo ya que lo que explota la vulnerabilidad no es el virus en si sino un exploit una vez descargado se compila en el ordenador de la victima y se activa, el virus normalmente modifica la clave shell pero en versiones mas avanzadas modifica otras claves del registro y mata cada 10 milisegundos el taskmanager.exe, para aquellos que hayan sido infectados revisen los registros de java y veran de donde se descargo el exploit, uno no se infecta por ver porno etc.. simplemente cualquier pagina que tenga publicidad basada en java puede inyectar el exploit la mejor manera es actualizando java. salu2

Hola, buenas tardes este troyano lo he encontrado ya en varias empresas y si señores es una vulnerabilidad de Java, que muchos pagan los 100 euros porque son un poco pillines jajajajaja

Para empezar si quereis quitar dicho Troyano debreis intentar entrar en modo seguro para ello debeis cargar una version de vuestro SO en CD y cargarle un editor del registro para poder entrar en modo seguro.

Una vez en modo seguro Inicio > Ejecutar > msconfig ,, Pestaña Inicio
y ahi quitar los procesos que veais "Raros" es decir con mucha combinacion de caracteres (numeros y letras) ,, si no estais seguro de cual quitar buscar informacion de los procesos que seguro que dareis con el. Si no me equivoco este troyano el proceso empezaba por h4.... o algo así de todos modos probar y SUERTE!!  ::)

Hola.

Yo me he "entretenido" esto días con una de las versiones nuevas que no admite el arranque en "modo seguro" o  "a prueba de fallos" y, después de varias pruebas, he llegado a la conclusión de que la forma más simple de "darle matarile" es la siguiente:

(1) Arrancas el equipo y dejas que aparezca la famosa ventanita pidiéndote la pasta.

(2) Pulsas el botón de encendido del equipo para iniciar una hibernación o un apagado. Pero sólo hay que hacerlo durante un segundo, si lo dejas pulsado más tiempo apagarás el equipo.

(3) Al iniciarse la secuencia de cierre la ventana del malware se cierra y se van cerrando también los demás procesos.

(4) Cuando aparezca la ventana que informa del error en el proceso "explorer.exe"  y que intenta cerrarlo, debéis pulsar la tecla "escape" del teclado para interrumpirlo. De ese modo, no continúa con el apagado o hibernación.

(5) Ahora, ya tenéis la posibilidad de realizar la secuencia "Ctrl" + "Alt" + "Supr" y abrir el administrador de tereas. Desde "Archivo" - "Ejecutar" se puede lanzar el "msconfig" y eliminar la entrada que arranca el virus o el "regedit" y hacer lo mismo manualmente en el registro (creo que lo primero es más simple, para no tener que andar buscando las claves afectadas).

(6) Se reinicia y listo. No ha hecho falta arrancar desde CD o USB.

Nota1: de los CDs que he probado, sólo el de Kaspersky (http://support.kaspersky.com/viruses/solutions?qid=208285998 (http://support.kaspersky.com/viruses/solutions?qid=208285998)) conseguía limpiarlo con la herramienta especifica de  desbloqueo del arranque que tiene para este tipo de malware.

Nota2: hay una herramienta automática que limpia lo modificado por el malware  que se llama "polifix.exe" (http://www.infospyware.com/antimalware/polifix/ (http://www.infospyware.com/antimalware/polifix/). Si queréis usarla, hay que copiarla en un pendrive, hacer los pasos descritos anteriormente hasta el 5 y, en vez usar "msconfig" o "regedit", desde el administrador de archivos se ejecuta el "polifix.exe" (hay que esperar un ratito a que se aplique, porque parece que se haya quedado colgada pero está trabajando, y he comprobado que también funciona. Yo, previamente, copié el "polifix.exe" a la unidad C:\, pero imagino que desde el pendrive debe poder ejecutarse directamente con el mismo resultado)

Nota3: después, hay que actualizar java (www.java.com (http://www.java.com)) o no tardas en pillarlo nuevamente (que es lo que me ha permitido infectarme unas cuantas veces seguidas para hacer todas estas pruebas, je, je...)

buenas noches he encontrado una forma mucho mas sencilla de eliminar el virus que se hace pasar por una infraccion contra la sgae con una mula de 100€.
consiste:
1- iniciar el ordenador normalmente
2- nos sale solo el fondo de pantalla y presionamos ctrl+alt+supr
3- en el administrador de tareas seleccionamos en la categoria archivo/nueva tarea y sale una ventana , escribimos: CMD
4- nos sale la ventana ms-dos
5- previamente tendremos en una memoria extraible el programa superantispyware.
6- conectamos la memoria extraible al ordenador
7- en la ventana ms-dos escribimos DISKPART y luego LIST VOLUME para saber que letra tiene asignada nuestra memoria. cuando lo sepamos escribimos EXIT
8- seleccionamos la letra que sea nuestra memoria extraible ejemplo (h: )
9- escribimos DIR para saber que hay dentro de la memoria extraible y cuando localizemos el archivo .exe del programa superantispyware lo escribimos y se ejecutara el solo.
10- despues de la actualizacion y la instalacion le damos al boton scan completo y paciencia y a esperar. cuando termine borramos todas las infecciones y reinicializamos.
11- por ultimo cuando hayamos reinicializado restauramos el sistema a un punto de como minimo 3 dias antes de la infeccion y solucionado el problema.

yo lo he probado en win xp y en win 7 y funciona

Hola!!

Ha salido una nueva variante que se hace pasar por la SGAE!!

http://www.osi.es/es/actualidad/avisos/2012/05/atencion-circula-por-internet-un-virus-que-muestra-un-falso-mensaje-de-la-

Tengan cuidado,