Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración.
Intenta que el usuario pague 100 euros por recuperar su equipo,
acusándolo de almacenar contenido pedófilo, zoofílico y de enviar
spam a favor del terrorismo.
El troyano ha sido denominado por algunas casas antivirus como
Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor.

No es técnicamente novedoso, ni siquiera en su planteamiento, puesto que ya hablamos en ocasiones anteriores de varios secuestradores del sistema que impedían el uso del ordenador culpando al usuario de haber realizado actos ilegales. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, le acusa de:
"Su dirección IP ha sido registrada en las webs ilegales con contenido
pornográfico orientadas a la difusión de la pornografía infantil,
zoofilia e imágenes de violencia contra menores! […] Además, desde
su ordenador se realiza un envío ilegal (SPAM) de orientación pro
terrorista."
http://blog.hispasec.com/laboratorio/images/noticias/policianacional.png
La imagen que utiliza es la de la policía nacional española, aunque se
ha visto unos días atrás un troyano de la misma familia que hacía
alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía
alemana". El procedimiento es el habitual. El troyano se ejecuta cada
vez que se inicia sesión y no permite utilizar el sistema a no ser que
se pague.
El troyano se basa en los sistemas de pago online Ukash y  Paysafecard.
Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.
Invitamos al lector a visualizar el vídeo alojado en YouTube (2:20
minutos).
http://www.youtube.com/watch?v=4KtjhILjdjM
Curiosidades:
* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.
* Comprueba la dirección IP, el user agent del navegador y el país de
la IP y los muestra en pantalla para ganar credibilidad. Lo toma del
servicio http://tools.ip2location.com/ib2/.
* Utiliza el logotipo oficial del cuerpo nacional de policía.
* El trabajo de traducción y la redacción son muy malas.
* El troyano se ejecuta en el comienzo de cada sesión gracias a la clave creada en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Más información:
http://www.virustotal.com/file-scan/report.html?id=ef6980603136ffa42aebd6b9bfa864fe5223fa09c505bd80b386ee253a979aa7-1308643658
Vídeo: Troyano "Dot-Torrent" aprovecha el miedo a las descargas "ilegales"
Fuente : http://www.hispasec.com/unaaldia/4301
Escrito Por: Sergio de los Santos
           ssantos@hispasec.com
           twitter: @ssantosv

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: