lunes, 30 de abril de 2012

Troyano de la "policia"

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. Intenta que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."



La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el
aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20 minutos).



Formas de evitar este troyano y similares

El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo.

 Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

 En XP, la rama del registro que modifica es:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

 Shell=Explorer.exe, troyano.exe

 Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

 En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 Aquí crea otra directiva llamada shell, con la ruta del troyano.

 

 En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

 Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos.

  

 Luego eliminamos los permisos de escritura, para administradores y usuarios.

 

 Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave".

 

 Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.

0 comentarios:

Publicar un comentario en la entrada