jueves, 5 de abril de 2012

Ransomware: peleando contra el Virus de la Policía

Llevo ya unas cuantas semanas encontrándome con ordenadores infectados por el llamado "virus de la policía".  Se trata de un malware que bloquea el ordenador solicitando el pago de un importe para desbloquearlo.  El mensaje, que acusa al usuario de haber accedido a páginas de pornografía, zoofilia, violencia sobre menores, etc. utiliza los logos y la imagen de la Policía Nacional (aunque también de cuerpos de policía de otros países).

Técnicamente se trata de un "Ransomware" (del inglés "ransom", extorsionar o pedir un rescate).  El programa maligno modifica determinadas claves del Registro para que se cargue al iniciar el sistema, mostrando el mensaje de aviso y bloqueando por completo el equipo.


He observado que algunas versiones de este malware cambian la "shell" (interfaz gráfica) de Windows (típicamente "Explorer.exe") por el nombre del programa en la siguiente ruta del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

De este modo se asegura su ejecución en el inicio de Windows, bloqueando el equipo.  Por suerte, siempre configuro los equipos con la cuenta del Usuario con permisos restringidos; en este caso, los permisos del usuario impiden al malware que modifique esa clave del Registro y pueda autoejecutarse.

En este link de Hispasec hay más detalles sobre como una adecuada asignación de permisos nos protege de este virus:
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html

Otras versiones, en cambio, modifican una clave del Registro en la que el usuario sí que tiene permisos:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Esta clave (en Windows XP) corresponde a la carpeta  C:\Documents and Settings\Usuario\Menú Inicio\Programas\Inicio  donde aparecen los programas que -para ese usuario- se cargan al iniciar sesión.

Si estamos en esta situación, basta con reiniciar el equipo en "Modo Seguro" o iniciar sesión con otro usuario para acceder a la carpeta de Inicio y eliminar el acceso directo al programa maligno.


En este caso, el troyano se llamaba "ch8l0.exe".  Pero ¡atención!, al eliminar el acceso directo de la carpeta de inicio, impedimos que el malware se cargue al arrancar el equipo, pero el ejecutable dañino sigue estando ahí.  Antes de eliminar el acceso directo hay que ver a que archivo apunta y en que ruta se encuentra.  En mi caso estaba en la carpeta temporal del usuario (C:\Documents and Settings\Usuario\Configuración local\Temp).  Con un "DIR /O:D" se muestran los archivos ordenados por fecha, nos interesan los últimos, además la fecha y hora del ejecutable coinciden con la del acceso directo.  Tras eliminar estos archivos, reiniciamos y el ordenador arrancará con normalidad.


Por cierto, subí el ejecutable a VirusTotal.com y ¡sólo lo detectaron 2 de 42 antivirus!



He realizado varias pruebas (consigo infectarme a propósito, en menos de 5 minutos, navegando por determinadas páginas de dudosa reputación ;-)) y no he encontrado más variantes que modifiquen otras claves del Registro, aunque aquí hablan de que una nueva versión que impide el arranque en "Modo Seguro".

Como curiosidad, en alguna ocasión, la página que ha aparecido es la de la policía alemana (BundesPolizei) ¿será porque mi operador de Internet es una compañía alemana?


Y para acabar, y ya que estaba en ello, revisando los logs del firewall, observo que cuando el equipo infectado se pone en marcha, se conecta inmediatamente a una IP ubicada, aparentemente, en Rusia.


Si bloqueo esa IP, no se muestra la pantalla con el supuesto mensaje de la Policía, aunque el ordenador continúa infectado y bloqueado.  En su lugar aparece una ventana de error de Internet Explorer que no puede cerrarse.