elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)  (Leído 38,444 veces)
wolfbcn


Desconectado Desconectado

Mensajes: 53.668



Ver Perfil WWW
Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« en: 29 Febrero 2012, 14:07 pm »

Desde hace unas semanas veníamos observando que las visitas y comentarios en una noticia sobre un troyano de junio de 2011, aumentaban. Los usuarios buscaban información en Google, acababan en el artículo, y preguntaban. Las menciones en medios generalistas lo confirmaban: el troyano se pone de moda y afecta a muchos usuarios. Veamos cómo protegerse de verdad.

En junio de 2011 publicábamos esta noticia: "Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico". Incluía un vídeo demostración del troyano. Bloqueaba el sistema con la siguiente excusa:

 En nombre de la policía nacional, le acusa de: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

 El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: "Pagan una multa policialfalsa por ver porno en sus ordenadores"

 Resulta cuando menos curioso que casi nueve meses después de ser "descubierto", el troyano protagonice titulares en medios generalistas, y la infección llegue a tantos usuarios. Sobre todo, porque no es especialmente sofisticado. Incluso, es bastante detectado por los sistemas antivirus, y no existen demasiadas variantes en nuestra bases de datos (o sea, que parece ser que viene siendo exactamente el mismo fichero que en junio de 2011 el que está infectando a tanta gente).

 Cómo protegerse

 Puesto que estamos recibiendo numerosas consultas sobre el asunto, vamos a ofrecer una solución real contra este y cualquier otro tipo de troyano parecido que aparezca en el futuro. Por supuesto, la prevención pasa por evitar ejecutar archivos desconocidos, y actualizar el software para que no contenga vulnerabilidades. Si aun así, no nos fiamos de nosotros mismos, la buena noticia es que es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar nuestro sistema.

 El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo.

 Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

 En XP, la rama del registro que modifica es:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

 Shell=Explorer.exe, troyano.exe

 Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

 En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 Aquí crea otra directiva llamada shell, con la ruta del troyano.

 

 En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

 Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos.

 

 Luego eliminamos los permisos de escritura, para administradores y usuarios.

 

 Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave".

 

 Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.

 Más información:

 Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html

 Una estafa informática te acusa de descargar pornografía y exige 100 euros para solucionarlo http://www.cadenaser.com/tecnologia/articulo/estafa-informatica-acusa-descargar-pornografia-exige-euros-solucionarlo/csrcsrpor/20120215csrcsrtec_1/Tes

 "Pagan una multa policial falsa por ver porno en sus ordenadores" http://www.lavozdegalicia.es/noticia/pontevedra/2012/02/24/pagan-multa-policial-falsa-ver-porno-ordenadores/0003_201202P24C8991.htm


FUENTE :http://www.laflecha.net/canales/seguridad/noticias/vuelve-el-troyano-que-se-hace-pasar-por-la-policia-como-protegerse-de-verdad


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Yakui

Desconectado Desconectado

Mensajes: 45


Looking forward to death


Ver Perfil WWW
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #1 en: 29 Febrero 2012, 16:08 pm »

Supongo que es un artículo útil...
1) Si usas Windows...
2) ...Para ver zoofilia...
3) ...Mezclada con CP.

¿Y encima es un troyano de moda?
Este mundo está verdaderamente enfermo.


En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.170


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #2 en: 1 Marzo 2012, 16:47 pm »

Comportamiento de Virus en plataformas Windows
http://www.elhacker.net/comportamiento-virus.html

¿Cómo protogerse?

Actualizando flash player

Actualizando Java:

http://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html

¿Alguien tiene una muestra del virus? Es para poder mirar si realmente usa una vulnerabilidad de flash.
« Última modificación: 15 Marzo 2012, 17:51 pm por el-brujo » En línea

QAZWSX

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #3 en: 5 Marzo 2012, 19:33 pm »

Hola:
He sufrido el "virus de la policia", me vi obligado a hacer el pago de 100 Euros, PERO no sirvio de nada, ya que no desbloquearon el equipo. Al final tube que recurrir a un informático para resolver el problema.
ATENCION: No pageis, NO sirve de nada, No desbloquean el equipo.
En línea

Yakui

Desconectado Desconectado

Mensajes: 45


Looking forward to death


Ver Perfil WWW
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #4 en: 6 Marzo 2012, 00:54 am »

Hola:
He sufrido el "virus de la policia", me vi obligado a hacer el pago de 100 Euros, PERO no sirvio de nada, ya que no desbloquearon el equipo. Al final tube que recurrir a un informático para resolver el problema.
ATENCION: No pageis, NO sirve de nada, No desbloquean el equipo.


¿Por qué hiciste el pago? ¿Tienes pornografía infantil en tu PC?
En línea

Songoku
Supersayan y
CoAdmin
***
Desconectado Desconectado

Mensajes: 15.366


Supersayan


Ver Perfil WWW
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #5 en: 6 Marzo 2012, 01:48 am »

El otro dia me tope con otra variante del citado virus de la que hasta ahora no e leido nada por la red. En esta variante el virus no se carga desde la shell que deberia cargar al explorer si no que se carga en el inicio de windows como cualquier otra aplicacion que se inicia con windows, esta entrada ya no recuerdo bien pero apunta al svchost.exe y a su vez luego tiene parametros para que se cargue el virus que esta en una carpeta temporal y para que se cargue el IE con una url que es la que muestra la tipica interfaz del virus donde dice que es la policia y tal y pide los 100 euros. Esta ventana del IE es a pantalla completa de modo que no hay posibilidad de cerrarla porque ademas el virus deshabilita el administrador de tareas y tampoco sucede nada si se presiona la tecla de windows de modo que es imposible escapar de esa ventana del IE donde te pide el dinero, aunque eso si durante un segundo se llega a ver el escritorio de windows que esta por detras de esta extraña ventana del IE antes de que se cargue.
Por desgracia no recuerdo ahora la ruta del virus ni los parametros que metia en la entrada del registro al inicio de windows (tendria que haberlo apuntado) asi que no puedo dar mas detalles, y tampoco apunte la url donde iba el IE para mostrar la tipica interfaz del virus pidiendo el dinero y tal. En cualquier caso el virus se elimina muy facilmente iniciando el pc el modo seguro con simbolo del sistema, y cargando desde la ventana de ms-dos el explorer para asi abrir el msconfig o bien desde el ms-dos cargar el regedit y quitar esa clave del registro que inicia el virus al inicio del sistema. Una vez echo eso solo hay que reiniciar ya en modo normal y desde el regedit volver a habilitar el administrador de tareas asi como borrar los temporales para eliminar el ejecutable del virus (aunque da igual si se le borra como si no porque ya no se carga).
Saludos...

Songoku
En línea

QAZWSX

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #6 en: 6 Marzo 2012, 23:09 pm »

Por supuesto que no, pero si no sabes mucho de informática como es mi caso, no había manera de desbloquear el equipo. Aunque como digo No sirve de nada pagar. He interpuesto una denuncia ante la policia y puesto mi PC a su disposición aunque no creo que sirva de nada.
En línea

ellindogatito

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #7 en: 8 Marzo 2012, 08:21 am »

El otro dia me tope con otra variante del citado virus de la que hasta ahora no e leido nada por la red. En esta variante el virus no se carga desde la shell que deberia cargar al explorer si no que se carga en el inicio de windows como cualquier otra aplicacion que se inicia con windows, esta entrada ya no recuerdo bien pero apunta al svchost.exe y a su vez luego tiene parametros para que se cargue el virus que esta en una carpeta temporal y para que se cargue el IE con una url que es la que muestra la tipica interfaz del virus donde dice que es la policia y tal y pide los 100 euros. Esta ventana del IE es a pantalla completa de modo que no hay posibilidad de cerrarla porque ademas el virus deshabilita el administrador de tareas y tampoco sucede nada si se presiona la tecla de windows de modo que es imposible escapar de esa ventana del IE donde te pide el dinero, aunque eso si durante un segundo se llega a ver el escritorio de windows que esta por detras de esta extraña ventana del IE antes de que se cargue.
Por desgracia no recuerdo ahora la ruta del virus ni los parametros que metia en la entrada del registro al inicio de windows (tendria que haberlo apuntado) asi que no puedo dar mas detalles, y tampoco apunte la url donde iba el IE para mostrar la tipica interfaz del virus pidiendo el dinero y tal. En cualquier caso el virus se elimina muy facilmente iniciando el pc el modo seguro con simbolo del sistema, y cargando desde la ventana de ms-dos el explorer para asi abrir el msconfig o bien desde el ms-dos cargar el regedit y quitar esa clave del registro que inicia el virus al inicio del sistema. Una vez echo eso solo hay que reiniciar ya en modo normal y desde el regedit volver a habilitar el administrador de tareas asi como borrar los temporales para eliminar el ejecutable del virus (aunque da igual si se le borra como si no porque ya no se carga).
Saludos...

Songoku


Me pasa lo mismo en un portatil Acer con Windows 7 64bits, no me aparece la linea en el shell...

 si alguien recuerda como deshacerse del puñetero bicho (quiza mi problema sea el mismo que el de Songoku..) vaya ganas de fastidiar !!!

saludos.
En línea

OSIPC

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #8 en: 10 Marzo 2012, 12:14 pm »

Tengo una pequeñita tienda de informática y me han venido 5 equipos con ello uno con el vista lo he solucionado con el Rkill, http://goo.gl/NSl6j

el resto con el polifix os dejo el enlace con la explicación
http://goo.gl/Sm87e

espero os sirvan no doy toda la explicación pues ahí la tenéis super detallada y explicada al detalle incluso con imágenes.

Suerte
« Última modificación: 10 Marzo 2012, 12:33 pm por OSIPC » En línea

Dres

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #9 en: 11 Marzo 2012, 18:25 pm »

Mi problema es peor, ya que ni rkill ni procesos manuales consiguen quitar el maldito bicho.

En el registro de windows no me aparecen las modificaciones mencionadas :( El inicio está como siempre (visto desde msconfig).
« Última modificación: 11 Marzo 2012, 18:28 pm por Dres » En línea

Páginas: [1] 2 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines