Troyano que secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílo (Se incluye enlace a video youtube)
Presentamos una nueva muestra “ransomware”, con la particularidad de que
suplanta la imagen de la policía española. Llama la atención la forma
tan elaborada de conseguirlo. Hemos realizado un vídeo demostración.
Intenta que el usuario pague 100 euros por recuperar su equipo,
acusándolo de almacenar contenido pedófilo, zoofílico y de enviar
spam a favor del terrorismo.
El troyano ha sido denominado por algunas casas antivirus como
Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por
firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó
por primera vez, era solo detectada de forma genérica, por un motor. No
es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya
hablamos en ocasiones anteriores de varios secuestradores del sistema
que impedían el uso del ordenador culpando al usuario de haber realizado
actos ilegales. Lo llamativo es la forma tan cuidada de engañar al
usuario para que termine pagando. En nombre de la policía nacional,
le acusa de:
“Su dirección IP ha sido registrada en las webs ilegales con contenido
pornográfico orientadas a la difusión de la pornografía infantil,
zoofilia e imágenes de violencia contra menores! […] Además, desde
su ordenador se realiza un envío ilegal (SPAM) de orientación pro
terrorista.”
La imagen que utiliza es la de la policía nacional española, aunque se
ha visto unos días atrás un troyano de la misma familia que hacía
alusión a la legislación alemana. De hecho, si se observa la imagen, se
puede comprobar que se les ha escapado el texto la frase “policía
alemana”. El procedimiento es el habitual. El troyano se ejecuta cada
vez que se inicia sesión y no permite utilizar el sistema a no ser que
se pague.
El troyano se basa en los sistemas de pago online Ukash y Paysafecard.
Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo,
y conseguir códigos que pueden valer entre 10 y 500 euros. Y además
muestra logos de reputados bancos y casas antivirus para ganar
credibilidad, pero ni la policía ni las empresas tienen nada que ver en
el fraude, evidentemente, solo que soportan este tipo de pagos. En el
aspecto técnico, es interesante destacar que no es sencillo eludir la
pantalla de bloqueo del troyano, puesto que impide arrancar el
administrador de tareas.
Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20
minutos).
http://www.youtube.com/watch?v=4KtjhILjdjM
Curiosidades:
* Se puede escapar del troyano cambiando de usuario. Pero los usuarios
con XP tienen más complicado zafarse. XP lanza por defecto directamente
el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el
programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario
ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de
presentación que muestra las opciones de bloquear la sesión, cambiar la
contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la
tarea. Obviamente, hay que haber creado dos usuarios definidos.
* Comprueba la dirección IP, el user agent del navegador y el país de
la IP y los muestra en pantalla para ganar credibilidad. Lo toma del
servicio tools.ip2location.com/ib2/.
* Utiliza el logotipo oficial del cuerpo nacional de policía.
* El trabajo de traducción y la redacción son muy malas.
* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave
creada en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.