Índice
El virus de la policía "evoluciona" e impide el acceso en modo seguro
Puesto que parece que sigue la "moda", vamos a hablar un poco más de este malware que está afectando a tanta gente en España en los últimos días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos sofisticadas que las anteriores en algunos aspectos, más "malvadas" en otros... y poco detectadas.
ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.
Hace unos días recomendaba un método para prevenir la infección de una de las primeras variantes de este famoso malware que bloquea el acceso al sistema. Hemos monitorizado la base de datos para detectar otras muestras y, efectivamente, se están creando nuevas con ciertas diferencias. Uno de los ejemplares que hemos encontrado se distancia bastante del aparecido en junio de 2011. Veamos en qué.
La imagen
Como vemos en la figura, la imagen utilizada para el engaño es más burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir al usuario a que introduzca una prueba de pago en un formulario, pide que se envíe por correo a un dominio (cuerponational.org) que no existe.
El registro
La recomendación de la mayoría de los usuarios en Internet ante esta infección es que se entre en modo a prueba de fallos (F8) para que no se active y así poder "limpiarlo". En principio, me chocaba este método, porque la muestra que conocía hasta ahora, sí se activaba en el modo a prueba de fallos también. Efectivamente, las nuevas variantes no lo hacen... pero porque no lo necesitan. ¿Significa que son más sencillas de "eludir" y así recuperar el control del sistema. Todo lo contrario.
Las primeras variantes modificaban esta rama del registro en XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:
Shell=Explorer.exe, troyano.exe
O esta en Vista y 7:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Creando otra directiva llamada shell, con la ruta del troyano. Este método es muy efectivo, puesto que permite que el troyano también se active cuando se entra en "Modo seguro" (pulsando F8 durante el arranque).
La diferencia con esta nueva variante localizada, es que se copia a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Que es una zona mucho más común que usan tanto programas legítimos como malware... y que no se lanza en modo seguro. Esto sería una ventaja en teoría porque sería más sencilla su "eliminación manual". Y decimos, "en teoría" porque lo que hace este troyano para impedirlo es destrozar el sistema para que nose inicie en modo seguro. Concretamente, borra las ramas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
que se encargan de arrancar el sistema en "Modo seguro" normal y con funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul. Lo curioso es que el malware realiza una "copia de seguridad" de lo que borra en otras ramas con nombres inventados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net
Rama del registro normal para el Modo Seguro
Rama del registro modificada por el troyano
No deja de ser curioso el intento de copia de seguridad. Si un usuario llegase a recuperar el control de su equipo, podría renombrar esas ramas y "restaurar" el sistema. También eliminar el troyano de la rama que hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos usuarios definidos en el sistema operativo. Sin embargo para prevenirlo... es más complejo. Podríamos igualmente proteger esas ramas del registro que corresponden del modo seguro para que no fuesen modificadas por el administrador (pero no he probado sus consecuencias a fondo, si las tuviera).
Detección antivirus
Según nuestra base de datos, esta muestra llegó por primera vez el 24 de febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente, el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8 motores de nuevo (parece que algunas firmas dejan de detectarlo por heurística, siendo exactamente la misma muestra). Finalmente, el día 26 de febrero es detectada por 24 motores.
Es posible que otras personas se hayan inspirado en el anterior para hacer un nueva variante, o que la misma banda haya querido añadir "complejidad".
Puesto que parece que sigue la "moda", vamos a hablar un poco más de este malware que está afectando a tanta gente en España en los últimos días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos sofisticadas que las anteriores en algunos aspectos, más "malvadas" en otros... y poco detectadas.
ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.
Hace unos días recomendaba un método para prevenir la infección de una de las primeras variantes de este famoso malware que bloquea el acceso al sistema. Hemos monitorizado la base de datos para detectar otras muestras y, efectivamente, se están creando nuevas con ciertas diferencias. Uno de los ejemplares que hemos encontrado se distancia bastante del aparecido en junio de 2011. Veamos en qué.
La imagen
Como vemos en la figura, la imagen utilizada para el engaño es más burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir al usuario a que introduzca una prueba de pago en un formulario, pide que se envíe por correo a un dominio (cuerponational.org) que no existe.
El registro
La recomendación de la mayoría de los usuarios en Internet ante esta infección es que se entre en modo a prueba de fallos (F8) para que no se active y así poder "limpiarlo". En principio, me chocaba este método, porque la muestra que conocía hasta ahora, sí se activaba en el modo a prueba de fallos también. Efectivamente, las nuevas variantes no lo hacen... pero porque no lo necesitan. ¿Significa que son más sencillas de "eludir" y así recuperar el control del sistema. Todo lo contrario.
Las primeras variantes modificaban esta rama del registro en XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:
Shell=Explorer.exe, troyano.exe
O esta en Vista y 7:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Creando otra directiva llamada shell, con la ruta del troyano. Este método es muy efectivo, puesto que permite que el troyano también se active cuando se entra en "Modo seguro" (pulsando F8 durante el arranque).
La diferencia con esta nueva variante localizada, es que se copia a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Que es una zona mucho más común que usan tanto programas legítimos como malware... y que no se lanza en modo seguro. Esto sería una ventaja en teoría porque sería más sencilla su "eliminación manual". Y decimos, "en teoría" porque lo que hace este troyano para impedirlo es destrozar el sistema para que nose inicie en modo seguro. Concretamente, borra las ramas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
que se encargan de arrancar el sistema en "Modo seguro" normal y con funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul. Lo curioso es que el malware realiza una "copia de seguridad" de lo que borra en otras ramas con nombres inventados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net
Rama del registro normal para el Modo Seguro
Rama del registro modificada por el troyano
No deja de ser curioso el intento de copia de seguridad. Si un usuario llegase a recuperar el control de su equipo, podría renombrar esas ramas y "restaurar" el sistema. También eliminar el troyano de la rama que hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos usuarios definidos en el sistema operativo. Sin embargo para prevenirlo... es más complejo. Podríamos igualmente proteger esas ramas del registro que corresponden del modo seguro para que no fuesen modificadas por el administrador (pero no he probado sus consecuencias a fondo, si las tuviera).
Detección antivirus
Según nuestra base de datos, esta muestra llegó por primera vez el 24 de febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente, el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8 motores de nuevo (parece que algunas firmas dejan de detectarlo por heurística, siendo exactamente la misma muestra). Finalmente, el día 26 de febrero es detectada por 24 motores.
Es posible que otras personas se hayan inspirado en el anterior para hacer un nueva variante, o que la misma banda haya querido añadir "complejidad".
