|
Título: Últimas versiones del virus de la policía y más ideas para protegerse Publicado por: wolfbcn en 30 Abril 2013, 02:00 am El virus de la policía continúa evolucionando, con altos niveles de infección y nuevas estrategias fundamentadas siempre en la misma premisa: el secuestro del ordenador con la excusa de que, ante la detección de actividad ilegal en el sistema, es necesario pagar una multa a la policía. Veremos qué ligeros cambios se han observado en las últimas versiones y una idea para protegernos.
Las últimas versiones aparecían en forma de DLL. Era necesario llamarlas conociendo el nombre de la función de entrada del binario para poder ejecutarlo. Esta estrategia podía estar orientada a intentar eludir los sistemas de ejecución automática y desatendida de los laboratorios, puesto que la DLL pasaría a veces inadvertida si no se llamaba a la función concreta. Estas muestras solían instalarse en la carpeta de inicio. En los últimos tiempos se ha observado que el malware ha pasado a utilizar un archivo con extensión .DAT (y de nombre skype), que no es más que un ejecutable (cuyos dos primeros bytes son MZ). Esto no es un problema para que sea lanzado, pero sí podría confundir a usuarios y análisis. Además crea un skype.ini. También ha vuelto a los "orígenes", anclándose en una rama del registro donde se lanza el explorer.exe. Veamos cómo funciona. El ejecutable, fundamentalmente, busca el %APPDATA% del usuario, puesto que en Windows 7, podrá escribir sin problemas en él. Ahí dejará el archivo skype.dat (ejecutable). Seguir leyendo: http://www.laflecha.net/canales/seguridad/noticias/ultimas-versiones-del-virus-de-la-policia-y-mas-ideas-para-protegerse |