elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] 4 Ir Abajo Respuesta Imprimir
Autor Tema: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)  (Leído 43,174 veces)
kaoporrex

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #20 en: 21 Marzo 2012, 00:34 am »

Creo que yo me infecte a traves de un mail de un alta de un servicio de una aplicación para el ipad. Eso creo. La plicacion puede ser una que es para ver la programacion española del TDT. Espero que esto le sirva a alguien.


En línea

alfasin

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #21 en: 21 Marzo 2012, 04:48 am »

A ver. Yo me he infectado abriendo un archivo de una serie de "series yonk..."
nada de porno raro ni rollos malos. Para los listos/as no hace falta enredar mucho (como mi caso para resfriarte). Las variantes del troyano son varias. Desde la de HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, ó  la del HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
donde se ubica en un "shell", hasta la que me ha ocurrido a mí y creo que más arriba ya se ha comentado (w7-64), que no es posible encontrar el shell. Para este caso, despues del pantallazo de intento de engaño, que tapa la pantalla por completo y su funcionalidad de accesos a iconos disponible, y despues de comprobar esa inexistencia del shell mediante ctrl+alt+ supr, para iniciar el admtrador de tareas (que por cierto no es posible activarlo directamente en el desplegable que aparece, sino que "engañando" al troyano con velocidad hay que dar al botoón de abajo a la dcha: reiniciar y en esos escasos momentos del nuevo proceso o despues de indicar el sistema que hay que esperar porque el sistema nos anuncia que un momento y pregunta si deseas cancelar el reinicio o inducirlo automáticamente, a lo cual respondemos que cancelar para que se quede ese ratito pensando; volvemos ahora que está activo el sistema a presionar ctrl+alt+ supr; y ahora sí entramos en el admtrador de tareas) Dentro del administrador: entramos en aplicaciones/nueva tarea/abrir, y escribimos Regidit y entramos en el registro para buscar las entradas que anteriormente puse.
Pues como yo no tenía esas entradas, sencillamente reinicie y entre con F8 en el arranque y a modo de fallos (1ªentrada de las posibles que te ofrece) Luego hice una restauración del sistema a una fecha antigua y funcionó.
Que conste que tengo actualizado el reader y java así como el antivirus,... pero se coló.
Lo último es pagar (no vale de nada) o formatear.
Espero haber ayudado a alguien a pesar de mi rollo (lo siento).
Lo que no estoy seguro ya, es cómo prevenirlo, debido sobre todo a las variantes


En línea

ciberdiego

Desconectado Desconectado

Mensajes: 24


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #22 en: 28 Marzo 2012, 12:22 pm »

ya hay varias mutaciones / variantes del virus,
el primero se puede eliminar modificando el registro con regedit,
la segunta entrando en modo seguro y usando el malwarebytes,
y la ultima variante del virus de la policia no arranca ni en modo seguro,
hay que encender con un CD metido en el ordenador y arrancar desde él,
es un BOOT CD de AVIRA, que lo desinfecta, a mi me funcionó.
Aquí un tuto.http://goo.gl/y1OEa
Suerte, y no paguéis, conozco gente que se lo ha creído y ha pagado!
En línea

helejagy


Desconectado Desconectado

Mensajes: 379



Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #23 en: 14 Abril 2012, 21:41 pm »

Hola, no puedo acceder al equipo, en seguida sale la ventana del virus. He probado ALT y TABULADOR. Ni restaurar sistema, ni modo seguro ni nada. Sale siempre el virus. ¿Qué puedo hacer para pasar el programa que recomendáis de limpieza?

Gracias.
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #24 en: 14 Abril 2012, 22:03 pm »

Inicia desde el CD un LiveCD antimalware, más arriba aconsejan el de Avira, el de Kaspersky tambien elimina ese Ramsonware...

LiveCD Avira: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso

LiveCd Kaspersky: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Saludos.
En línea

helejagy


Desconectado Desconectado

Mensajes: 379



Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #25 en: 14 Abril 2012, 22:47 pm »

Gracias r32, el caso es que es un portatil y no tiene reproductor de CD. Quizá con un lápiz USB. ¿Cómo hacerlo, cómo acceder a él si en seguida me sale la ventana del virus y no hay manera de entrar en el equipo?
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #26 en: 16 Abril 2012, 23:16 pm »

Para los que tengan el problema de que no tiene lectora de CD, pueden usar el programa UNetbootin, seguir las instrucciones del siguiente documento:

http://ns2.elhacker.net/aio/Instrucciones%20para%20grabar%20los%20LiveCD%20en%20una%20unidad%20USB.pdf
En línea

erawlam

Desconectado Desconectado

Mensajes: 31


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #27 en: 18 Abril 2012, 11:36 am »

Pueden consultar la información que da directamente la policía en este enlace:

https://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=2984&Itemid=197

Además el CCN-CERT dice cómo limpiar el equipo...
En línea

rassiel

Desconectado Desconectado

Mensajes: 83


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #28 en: 18 Abril 2012, 12:14 pm »

actualicen su version de java el troyano explota una vulnerabilidad en java ademas en las nuevas mutaciones es mas dificil detectarlo ya que cuando explota la vulnerabilidad en java lo que hace es descargarse a si mismo ya que lo que explota la vulnerabilidad no es el virus en si sino un exploit una vez descargado se compila en el ordenador de la victima y se activa, el virus normalmente modifica la clave shell pero en versiones mas avanzadas modifica otras claves del registro y mata cada 10 milisegundos el taskmanager.exe, para aquellos que hayan sido infectados revisen los registros de java y veran de donde se descargo el exploit, uno no se infecta por ver porno etc.. simplemente cualquier pagina que tenga publicidad basada en java puede inyectar el exploit la mejor manera es actualizando java. salu2
En línea

eerviictoor

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
« Respuesta #29 en: 9 Mayo 2012, 20:22 pm »

Hola, buenas tardes este troyano lo he encontrado ya en varias empresas y si señores es una vulnerabilidad de Java, que muchos pagan los 100 euros porque son un poco pillines jajajajaja

Para empezar si quereis quitar dicho Troyano debreis intentar entrar en modo seguro para ello debeis cargar una version de vuestro SO en CD y cargarle un editor del registro para poder entrar en modo seguro.

Una vez en modo seguro Inicio > Ejecutar > msconfig ,, Pestaña Inicio
y ahi quitar los procesos que veais "Raros" es decir con mucha combinacion de caracteres (numeros y letras) ,, si no estais seguro de cual quitar buscar informacion de los procesos que seguro que dareis con el. Si no me equivoco este troyano el proceso empezaba por h4.... o algo así de todos modos probar y SUERTE!!  ::)
En línea

Páginas: 1 2 [3] 4 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines