|
Título: ¿Como funciona internamente el virus de la policia? Publicado por: crazykenny en 11 Noviembre 2013, 18:51 pm Hola; el caso es que, bueno, quisiera preguntar una cosa, asi, solo por pura curiosidad, nada mas, si no es molestia, claro esta.
Entonces, a ver, bueno, la pregunta en si es, bueno, mas que nada saber como funciona "internamente" el virus de la policia; ya sabeis, mas o menos, que funciones realiza "internamente" el virus de la policia y demas cosas. Muchas gracias por vuestra atencion. Saludos. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: paulagarcum en 11 Noviembre 2013, 20:31 pm Está bien la cuestión que planteas. Igual para ello sería conveniente hacerse con el ejecutable y analizarlo. O en su defecto mirar alguna descripción técnica de alguna casa AV o similar, aunque mucho no ponen ni explican, la verdad.
Siguiendo con lo que preguntabas, a mí ya puestos, me intriga cómo puede hacer para que al reiniciar no se pueda entrar con F8 en modo seguro al sistema. Sé que en Windows XP (y quizás 9X) es modificando unas claves en el registro. Pero esas claves están protegidas en Windows Vista, 7, 8. Luego entonces parece que no lo hace así por registro en esas versiones del SO. ¿Cargará algún driver? ¿? Que yo sepa, o imagine, es un malware en Ring3 sólo ¿no? Por cierto no es ningún virus. Es un troyano. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: crazykenny en 11 Noviembre 2013, 20:43 pm Por cierto no es ningún virus. Es un troyano. Muchas gracias por la aclaracion, y, bueno, por otra parte, una cosa curiosa que me paso cuando se me metio el virus de la policia en el portatil que tiene instalado windows XP, es que, bueno, solo me aparecia cuando conectaba el ordenador a internet, y, bueno, esto no lo digo en plan para desviar el tema (ni nada por el estilo), pero que vamos, me resulta curioso esto, que, bueno, si el ordenador estaba desconectado de Internet, el troyano en cuestion era como si no estuviese en mi ordenador (vamos, que el portatil funcionaba con normalidad), pero, si lo conectaba a Internet, pues aparecia y tenia que desconectar el portatil y reiniciarlo para que volviese a la normalidad, y, bueno, este tipo de cosas (y ya no solo en el virus -bueno, troyano- de la policia) creo que seria bueno y/o interesantes examinarlas en lo que es el funcionamiento de los virus y/o demas malware en si, en el sentido de hasta que punto pueden afectarle a uno el estar o no conectado a Internet para ver el daño que pueden causar y/o demas cosas.Muchas gracias por vuestra atencion. Saludos. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: daryo en 11 Noviembre 2013, 20:49 pm ultimamente e visto mucho esta pregunta y la verdad es que no le veo gran cosa.
Citar Por cierto no es ningún virus. Es un troyano. no lo creo. un troyano permite el control remoto de un computador e intenta pasar desapercibido , evidentemente el virus de la policia no intenta pasarse desapercibido ni es la intencion el control remoto del pc mas bien es un ransomware https://en.wikipedia.org/wiki/Ransomware_%28malware%29 Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: daryo en 11 Noviembre 2013, 21:02 pm perdon el doble post
aca un pdf del analisis aca un pdf sobre el virus http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_police_trojan.pdf aca otro ransomware muy popular Citar ramsonware ransomware es un tipo de código malicioso que bloquea el acceso a la computadora con el objetivo de pedir dinero a cambio de devolverle el control al usuario. Por lo mismo, estos códigos maliciosos suelen informarle a la víctima que si paga, se le devolverá el acceso al sistema y archivos. Con respecto a este punto, Multi Locker implementa en el C&C una sección denominada Staff. Dicha opción agrupa todo lo relacionado al robo de dinero a través de la extorsión de la víctima. Allí se muestra el código de comprobación de pago que el usuario envía. También se muestra la dirección IP, el código de comprobación de pago, y fecha y hora en que ocurre el envío del supuesto pago. Asimismo, desde Staff el atacante también puede desbloquear la computadora de la persona en caso que el pago se concrete de acuerdo a lo estipulado por el ciberdelincuente (http://blogs.eset-la.com/laboratorio/wp-content/uploads/2013/06/Captura-mensaje-extorsivo-ransomware.png) En caso que ese comando sea enviado, el código malicioso se remueve de la computadora de la víctima y también elimina su archivo para evitar que el usuario lo reporte a empresas como ESET para su detección posterior. En Staff el atacante también puede modificar los mensajes de extorsión ingresando a la subsección “Lending Page”. Es importante destacar que este crimepack incluye plantillas de campañas de propagación en varios idiomas como español, inglés, portugués, alemán, entre otros. Este punto demuestra que los cibercriminales se están ocupando de conseguir la mayor cantidad de víctimas posibles. La siguiente captura muestra la sección de edición de plantillas de Multi Locker: (http://blogs.eset-la.com/laboratorio/wp-content/uploads/2013/06/Multi-Locker-Lending-Editor1.png) Cada archivo PHP que aparece es la plantilla que puede ser modificada por el atacante para actualizar las campañas de propagación. Finalmente, Admin agrupa opciones como la posibilidad de obtener “soporte” por parte del creador de este crimepack, el cambio de contraseñas del panel y la posibilidad de cerrar sesión en el mismo. A continuación, se muestra una captura del formulario de “asistencia técnica”:(http://blogs.eset-la.com/laboratorio/wp-content/uploads/2013/06/Solicitud-de-soporte-t%C3%A9cnico.png) Considerando que Multi Locker incluye plantillas de campañas en varios idiomas, procedimos a investigar los índices de detección de la familia de códigos maliciosos (Win32/LockScreen) en América Latina. LockScreen en Latinoamérica: México es el país más afectado De acuerdo a las estadísticas obtenidas por el sistema de alerta temprana ESET Live Grid, en lo que va de 2013, las detecciones de LockScreen en México han aumentado casi tres veces con respecto a todo 2012. Asimismo, en 2012 México ocupaba la posición 37ª a nivel mundial de detecciones de LockScreen. En la actualidad, ascendió a lo posición 11ª, siendo en todos los casos, el país más afectado de América Latina por esta amenaza. Como se mencionó en el primer post, se aconseja a que la víctima nunca pague el monto solicitado por el atacante. Hacerlo supone fomentar este tipo de negocio ilícito a través de la infección de amenazas que extorsionan al usuario. Por otro lado, y pese a que este tipo de malware ofrece la posibilidad de desinfectar la computadora afectada, el pago no garantiza que los cibercriminales vayan a ejecutar dicho comando. Por lo tanto, se recomienda tener una solución de seguridad instalada y actualizada para poder detectar y evitar estas amenazas a tiempo. André Goujon, Especialista de Awareness & Research Fernando Catoira, Analista de Seguridad Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: crazykenny en 11 Noviembre 2013, 21:10 pm Entiendo, y, bueno, muchas gracias por el aporte, daryo.
Muchas gracias por vuestra atencion. Saludos. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: daryo en 11 Noviembre 2013, 21:12 pm Entiendo, y, bueno, muchas gracias por el aporte, daryo. por nada :)Muchas gracias por vuestra atencion. Saludos. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: paulagarcum en 11 Noviembre 2013, 22:18 pm Cita de: paulagarcum Por cierto no es ningún virus. Es un troyano. Cita de: daryo no lo creo. un troyano permite el control remoto de un computador e intenta pasar desapercibido , evidentemente el virus de la policia no intenta pasarse desapercibido ni es la intencion el control remoto del pc mas bien es un ransomware https://en.wikipedia.org/wiki/Ransomware_%28malware%29 El PDF que tú mismo pones de TrendMicro me sirve para responderte: tiene este título: The “Police Trojan”. En el PDF se refieren a él como Trojan. Ramsonware es un tipo de malware (sea del tipo que sea ese malware) que tiene como característica principal que pide un rescate: ransom = rescate, de ahí su nombre. Pero no es ningún tipo de clasificación genérica como virus, worm, trojan, ... Y por supuesto vuelvo a aclarar que no es ningún virus (ya que no infecta ejecutables, boot sectors, etcs), sino un troyano. Por cierto, un troyano no implica forzosamente el control remoto de un computador. A partir de aquí que cada uno siga pensando lo que guste. Mi respuesta sobre esto es ésta, no entro a más. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: daryo en 11 Noviembre 2013, 22:41 pm owo vaya respuesta y en letra roja ._. .
talves tengas razon y todo xD vamos solo es que no cuadra con lo que conozco de malware . :P creo que como en español se popularizo como el virus de la policia en ingles fue police troyan mira que en el pdf esta entre comillas "police trojan" y si ves la pagina 3 encuentras que lo describe como ransomware (http://i40.tinypic.com/ej61i9.png) salu2! Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: Mad Antrax en 12 Noviembre 2013, 00:06 am El virus de la policia es en realidad un gusano/ransomware. Explota una vulnerabilidad que reside en una versión reciente de JAVA. La vulnerabilidad es la CVE-2012-0507 descubierta en Enero (no estoy seguro de la fecha del exploit)
Digamos que los equipos que no tengan actualizada la última versión de JAVA se pueden infectar con solo ejecutar una página web que contenga el script/applet malicioso, descargando un ejecutable y ejecutándolo sin el permiso del usuario. Así es como el virus (gusano) de la policía se expande por la red. La estructura del "virus" es: Explotar una vulnerabilidad en JAVA para infectar equipos = GUSANO Impedir el uso del equipo infectado = VIRUS Pedir dinero a cambio de la desinfección = RANSOMWARE Una vez descargado y ejecutado, modifica el registro y cambia el valor del SHELL del sistema (originalmente es explorer.exe y lo cambia por viruspolicia.exe) por eso al iniciar un PC infectado el escritorio no se carga y solo muestra la pantalla del virus pidiendo dinero xD. No es un virus muy complejo y bajo mi punto de vista está bastante mal programado. Lo único destacable es la capacidad de propagarse utilizando un 0-day bastante actual de JAVA y es lo que le ha dado popularidad y potencia dada su rápida difusión. Saludos. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: Vaagish en 12 Noviembre 2013, 02:44 am Citar owo vaya respuesta y en letra roja ._. . talves tengas razon y todo xD jajaja >:D Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: Meta en 27 Febrero 2014, 23:46 pm Hola:
Me ha lelgado una variante nueva del virus este. No hay manera de ponerlo a modo seguro en Windows XP 32 bits porque al hacerlo, se reinicia siempre el PC. Puse Ubuntu 10.04 y veo el disco duro. He borrado archivos temporales por si acaso, pero el virus sigue ahí. Al menos por ahora veo las fotos. En otro ordenador he perdido hasta el formato y las fotos y en este no quiero que pase lo mismo. No se si al perder el formato al final existe la forma de recuperarlas, ahora me centro en este que me tiene negro. Los vídeos que veo en youtube no ayudan porque no se reinicia solo el modo seguro que a mi si. ¿Qué hay que hacer? Un saludo. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: x64core en 28 Febrero 2014, 02:41 am Hola: Me ha lelgado una variante nueva del virus este. No hay manera de ponerlo a modo seguro en Windows XP 32 bits porque al hacerlo, se reinicia siempre el PC. Puse Ubuntu 10.04 y veo el disco duro. He borrado archivos temporales por si acaso, pero el virus sigue ahí. Al menos por ahora veo las fotos. En otro ordenador he perdido hasta el formato y las fotos y en este no quiero que pase lo mismo. No se si al perder el formato al final existe la forma de recuperarlas, ahora me centro en este que me tiene negro. Los vídeos que veo en youtube no ayudan porque no se reinicia solo el modo seguro que a mi si. ¿Qué hay que hacer? Un saludo. - Has intentado utilizar algun punto de restauración del sistema? - Una version 'live' de Windows y escanear con Kaspersky los Disco duros - Kaspersky Rescue Disk Y para recuperar cualquier archivo cifrado por el malware se tendra que depurar y saber como funciona para encontrar una solución. Al escanear el disco duro y encontrar el malware has una copia de el y enviamela por MP, voy a analizarlo. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: noopynoob en 28 Febrero 2014, 02:46 am porque no abren un nuevo tema en vez de revivir uno de noviembre?
Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: Meta en 28 Febrero 2014, 11:57 am porque no abren un nuevo tema en vez de revivir uno de noviembre? x64Core, gracias por las respuestas. Lo he solucionado. Ahora me falta el otro ordenador que perdió el formato, no se puede leer nada y me pide formatear, jaajjajjaaj. noopynoob ¿Qué te puedo contar? He hecho lo que preguntas y las respuestas de los usuarios han sido esta. ¿Por qué no buscas en el foro si hay preguntas ya hechas y así no creas los mismos temas? Deja de quejarse que no tiene argumento ni validación a la pregunta sino perder el tiempo a los demás. Mejor revivir que repetir una y otra vez. ;) Un saludo. Título: Re: ¿Como funciona internamente el virus de la policia? Publicado por: Seppo en 19 Mayo 2014, 15:04 pm Estos son algunos consejos más deleción - http://webeducativa.net/virus-de-la-policia.php
avatar coincidió :) |