[Gutl-l] El virus de la policía "evoluciona" e impide el acceso en modo seguro

Fri, 02 Mar 2012 06:19:59 -0800 


-------- Mensaje original --------

Asunto: 	una-al-dia (02/03/2012) El virus de la policía "evoluciona" e 
impide el acceso en modo seguro

Fecha:  Fri, 02 Mar 2012 14:27:05 +0100
De:     notic...@hispasec.com
Responder a:    unaaldia-comentar...@hispasec.com
Para:   unaal...@hispasec.com



----------------------------SPOT--------------------------
 SERVICIOS ANTIPHISHING y ANTITROYANOS DE HISPASEC SISTEMAS

 Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
 antitroyanos, dirigidos a entidades bancarias y sitios de comercio
 electrónico.

 Más información en:
   http://www.hispasec.com/corporate/antiphishing.html

 i...@hispasec.com                    Telf. 902 161 025
----------------------------SPOT--------------------------

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 -------------------------------------------------------------------
  Hispasec - una-al-día                                  02/03/2012
  Todos los días una noticia de seguridad          www.hispasec.com
  Síguenos en Twitter: http://twitter.com/unaaldia
  Noticia en formato HTML: http://www.hispasec.com/unaaldia/4878
 -------------------------------------------------------------------

 El virus de la policía "evoluciona" e impide el acceso en modo seguro
 ---------------------------------------------------------------------

Puesto que parece que sigue la "moda", vamos a hablar un poco más de
este malware que está afectando a tanta gente en España en los últimos
días. ¿Qué variantes han llegado últimamente a VirusTotal? Algunas menos
sofisticadas que las anteriores en algunos aspectos, más "malvadas" en
otros... y poco detectadas.

Hace unos días recomendaba un método para prevenir la infección de una
de las primeras variantes de este famoso malware que bloquea el acceso
al sistema. Hemos monitorizado la base de datos para detectar otras
muestras y, efectivamente, se están creando nuevas con ciertas
diferencias. Uno de los ejemplares que hemos encontrado se distancia
bastante del aparecido en junio de 2011. Veamos en qué.

La imagen

http://1.bp.blogspot.com/-L5C5eRZ4UYI/T1DCvI7ce_I/AAAAAAAAAVs/UsyuVR5RKlg/s1600/poli2.png

Como vemos en la figura, la imagen utilizada para el engaño es más
burda. Además, solo pide 50 euros (antes eran 100), y en vez de inducir
al usuario a que introduzca una prueba de pago en un formulario, pide
que se envíe por correo a un dominio (cuerponational.org) que no existe.

El registro

La recomendación de la mayoría de los usuarios en Internet ante esta
infección es que se entre en modo a prueba de fallos (F8) para que no se
active y así poder "limpiarlo". En principio, me chocaba este método,
porque la muestra que conocía hasta ahora, sí se activaba en el modo a
prueba de fallos también. Efectivamente, las nuevas variantes no lo
hacen... pero porque no lo necesitan. ¿Significa que son más sencillas
de "eludir" y así recuperar el control del sistema. Todo lo contrario.

Las primeras variantes modificaban esta rama del registro en XP:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

O esta en Vista y 7:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Creando otra directiva llamada shell, con la ruta del troyano. Este
método es muy efectivo, puesto que permite que el troyano también se
active cuando se entra en "modo a seguro" (pulsando F8 durante el
arranque).

La diferencia con esta nueva variante localizada, es que se copia a:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Que es una zona mucho más común que usan tanto programas legítimos como
malware... y que no se lanza en modo seguro. Esto sería una ventaja en
teoría porque sería más sencilla su "eliminación manual". Y decimos, "en
teoría" porque este troyano destroza el sistema para impedir que se
inicie en modo seguro. Concretamente, borra casi todas las ramas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

que se encargan de arrancar el sistema en "Modo seguro" normal y con
funciones de red. Si un usuario lo intenta, obtendrá un pantallazo azul.
Lo curioso es que el malware intenta realizar una "copia de seguridad"
en las ramas que se inventa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\min
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Net

http://1.bp.blogspot.com/-RWDJFGLtBeA/T1DDNEfvOYI/AAAAAAAAAV0/y7v2h5EvF6E/s1600/safebootnormal.png
http://2.bp.blogspot.com/-5W_XxkXnPtQ/T1DDwRmLF8I/AAAAAAAAAV8/u4BLZToz4nc/s1600/safebootinfectado.png

No deja de ser curioso el intento de copia de seguridad. Si un usuario
llegase a recuperar el control de su equipo, podría renombrar esas ramas
y "restaurar" el sistema. También eliminar el troyano de la rama que
hace que se lance al arrancar, por supuesto. Para conseguirlo una vez el
troyano ha llegado al ordenador, ahora sí, lo mejor es contar con dos
usuarios definidos en el sistema operativo. Para prevenirlo... es más
complejo. Podríamos igualmente proteger esas ramas del registro del modo
seguro para que no fuesen modificadas por el administrador (pero no he
probado sus consecuencias a fondo, si las tuviera).

http://2.bp.blogspot.com/-ksJPXmf79L4/T1DEYKgd5_I/AAAAAAAAAWE/gMTML5bPBGY/s1600/safeboot3.png

Detección antivirus

Según nuestra base de datos, esta muestra llegó por primera vez el 24 de
febrero, y era detectada por firmas por 7 de 43 motores. Curiosamente,
el día 25 es detectada por 14 motores. Sin embargo, el día 26 baja a 8
motores de nuevo (parece que algunas firmas dejan de detectarlo por
heurística, siendo exactamente la misma muestra). Finalmente, el día 26
de febrero es detectada por 24 motores.

Es posible que otras personas se hayan inspirado en el anterior para
hacer un nueva variante, o que la misma banda haya querido añadir
"complejidad".

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html#comments


Más información:

Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html


Sergio de los Santos
ssan...@hispasec.com
Twitter: @ssantosv


 Tal día como hoy:
 -----------------

02/03/2011: Actualización del kernel para Red Hat Enterprise Linux 5
    http://www.hispasec.com/unaaldia/4512

02/03/2010: Ejecución de código en Informix Dynamic Server de IBM
    http://www.hispasec.com/unaaldia/4147

02/03/2009: Actualización de múltiples paquetes para SuSE Linux
    http://www.hispasec.com/unaaldia/3782

02/03/2008: Vulnerabilidades en Juniper Networks Secure Access 2000
    http://www.hispasec.com/unaaldia/3417

02/03/2007: Desbordamiento de contador de referencias en PHP 4
    http://www.hispasec.com/unaaldia/3051

02/03/2006: "Guillermito" pierde la apelación en el juicio con Tegam
    http://www.hispasec.com/unaaldia/2686

02/03/2005: Liberado, para uso personal y educativo, el libro "The Code Book"
    http://www.hispasec.com/unaaldia/2321

02/03/2004: Desbordamiento de buffer en diferentes versiones de WinZip
    http://www.hispasec.com/unaaldia/1955

02/03/2003: Proposición de la Agencia de Seguridad Europea (NISA)
    http://www.hispasec.com/unaaldia/1589

02/03/2002: Mail relaying en servidores Windows 2000 y Exchange 5.5
    http://www.hispasec.com/unaaldia/1224

02/03/2001: La password de los Palm no sirven como protección
    http://www.hispasec.com/unaaldia/859

02/03/2000: Problemas con el 29 de febrero
    http://www.hispasec.com/unaaldia/492

02/03/1999: NetBus Pro 2.0, nueva versión del troyano
    http://www.hispasec.com/unaaldia/126


 -------------------------------------------------------------------
  Claves PGP en http://www.hispasec.com/directorio/hispasec
 -------------------------------------------------------------------
  Bajas:   mailto:unaaldia-requ...@hispasec.com?subject=unsubscribe
  Altas:   mailto:unaaldia-requ...@hispasec.com?subject=subscribe
 -------------------------------------------------------------------
  (c) 2012 Hispasec               http://www.hispasec.com/copyright
 -------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)

iQEcBAEBAgAGBQJPUMfdAAoJEI/UizGiFA4PMPgH/28bjjr8/ekNyxD8wq35V0g3
OupST8b/QwY+zQUmMbXnSJA5qPztUa4ncaXJ1EYw0ux5tnAqblEcT1htdi5u75jY
rlh97Nt4hhCrC4WQUKXWNgwmXTmuXUHwAzkYFjJu3V70+Ny1ILs04mTbFaTas7o1
ZIyOpYcuWBio+aHmqO+zVrzH+TVRkeCvIRqkC4jo32IFD7fkMbtQP2w44W4wbqfx
0wQ/AJBx637kR0AgpX71jfHGrIggSgOOmkMyk9kpvdNJ3WWSHRsYGUou62VaLB0Y
fMWKFHSEM/tLJiTfz8Qswpw3M92Ssk5NRhG4LGZF79+g1ndthygzMrRNHtskZBI=
=bALv
-----END PGP SIGNATURE-----



------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: 
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20120302/2dbd0c48/attachment.htm>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l














    











					Responder a