Nueva variante del virus de “la Policia”, cada vez mas dificil de eliminar…

La última variante que nos ha llegado del virus de “la policia” ofrece menos facilidades para su eliminacion, pues no presenta la pantallita de FINISHED, sino que tras presentar el escritorio, reinicia visualizando la fastidiosa pantalla:

bastante modificada respecto la de la anterior versión. y mantiene las caracteristicas anteriores de bloqueo del Administrador de Tareas, tambien la eliminacion del Safe Boot para impedir arrancar en MODO SEGURO, y la persistencia de la dichosa pantalla, que consta de 5 imagenes, la inicial y luego otras indicando que quedan 3,2,1 intentos … y una indicando “verificando el codigo introducido”

Con todo ello, lo que utilizabamos en la version anterior de apartar la ventanita y lanzar el ELISTARA, al no aparecer y ejecutar el proceso directamente, ya no es posible, por lo que hemos de detener el proceso en cuestion, sin contar con el Administrador de Tareas, al estar inteceptado.

Afortunadamente el SPROCES ofrece de entrada dos ventanas, a la izquierda la de Modulos y a la derecha la de Procesos, y normalmente los dos procesos que utiliza este virus, tienen nombre de unas 20 cifras hexadecimales, que son visualizadas por orden alfabetico, los numeros primero, por lo que estos dos procesos normalmente estarán al principio de los procesos mostrados en dicha ventana.

Con doble click y DETENER en cada uno de ellos, hemos podido interrumpir el proceso vírico y hemos podido lanzar el ELISTARA, y a partir de aquí ya todo solucionado, si es de las variantes que conoce el ELISTARA lo eliminará, y si no, lo aparcará pidiendo muestra para enviarnos, la cual añadir al control de la siguiente version del ELISTARA.

Ello será posible si el ordenador no es de última generacion, pues si es muy veloz no dará tiempo a hacerlo, y en tal caso convendrá eliminar los ficheros de dichos procesos arrancando con un LIVE CD o con un pendrive de arranque, o colocando el disco duro infectado como esclavo de otro ordenador.

Con eliminar el fichero del proceso que se carga en el USER.INI, que se guarda en la carpeta de sistema, y luego eliminar los ficheros temporales del usuario con el que se quiera arrancar, cuando se arranque con dicho disco duro, ya no se cargará dicho virus y permitirá lanzar el ELISTARA normalmente.  Pero para borrar dichos ficheros se ha de arrancar con otro medio (uno de los tres indicados en el parrafo anterior), y en las dos carpetas indicadas buscar los dos ficheros de nombre hexadecimal y 20 digitos, y añadirles .VIR a su extensión.

Son las dos maneras que, de entrada, se nos han ocurrido, bien deteniendo los dos procesos con el SPROCES o bien renombrando los dos ficheros arrancando con otro medio.

Como que ya son bastantes las variantes de esta nueva familia, que empezamos por llamar MALWARE.001, vamos a unificar nombre de detección identificandolos a todos como MALWARE POLICIA, a partir de la version del ELISTARA 25.30 de hoy

saludos

ms, 17-4-2012

ANEXO: OTRAS PANTALLAS DE ESTA VERSION DEL MALWARE.POLICIA

ms.