Técnicamente se trata de un "Ransomware" (del inglés "ransom", extorsionar o pedir un rescate). El programa maligno modifica determinadas claves del Registro para que se cargue al iniciar el sistema, mostrando el mensaje de aviso y bloqueando por completo el equipo.
He observado que algunas versiones de este malware cambian la "shell" (interfaz gráfica) de Windows (típicamente "Explorer.exe") por el nombre del programa en la siguiente ruta del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
De este modo se asegura su ejecución en el inicio de Windows, bloqueando el equipo. Por suerte, siempre configuro los equipos con la cuenta del Usuario con permisos restringidos; en este caso, los permisos del usuario impiden al malware que modifique esa clave del Registro y pueda autoejecutarse.
En este link de Hispasec hay más detalles sobre como una adecuada asignación de permisos nos protege de este virus:
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html
Otras versiones, en cambio, modifican una clave del Registro en la que el usuario sí que tiene permisos:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Esta clave (en Windows XP) corresponde a la carpeta C:\Documents and Settings\Usuario\Menú Inicio\Programas\Inicio donde aparecen los programas que -para ese usuario- se cargan al iniciar sesión.
Si estamos en esta situación, basta con reiniciar el equipo en "Modo Seguro" o iniciar sesión con otro usuario para acceder a la carpeta de Inicio y eliminar el acceso directo al programa maligno.
En este caso, el troyano se llamaba "ch8l0.exe". Pero ¡atención!, al eliminar el acceso directo de la carpeta de inicio, impedimos que el malware se cargue al arrancar el equipo, pero el ejecutable dañino sigue estando ahí. Antes de eliminar el acceso directo hay que ver a que archivo apunta y en que ruta se encuentra. En mi caso estaba en la carpeta temporal del usuario (C:\Documents and Settings\Usuario\Configuración local\Temp). Con un "DIR /O:D" se muestran los archivos ordenados por fecha, nos interesan los últimos, además la fecha y hora del ejecutable coinciden con la del acceso directo. Tras eliminar estos archivos, reiniciamos y el ordenador arrancará con normalidad.
Por cierto, subí el ejecutable a VirusTotal.com y ¡sólo lo detectaron 2 de 42 antivirus!
He realizado varias pruebas (consigo infectarme a propósito, en menos de 5 minutos, navegando por determinadas páginas de dudosa reputación ;-)) y no he encontrado más variantes que modifiquen otras claves del Registro, aunque aquí hablan de que una nueva versión que impide el arranque en "Modo Seguro".
Como curiosidad, en alguna ocasión, la página que ha aparecido es la de la policía alemana (BundesPolizei) ¿será porque mi operador de Internet es una compañía alemana?
Y para acabar, y ya que estaba en ello, revisando los logs del firewall, observo que cuando el equipo infectado se pone en marcha, se conecta inmediatamente a una IP ubicada, aparentemente, en Rusia.
Si bloqueo esa IP, no se muestra la pantalla con el supuesto mensaje de la Policía, aunque el ordenador continúa infectado y bloqueado. En su lugar aparece una ventana de error de Internet Explorer que no puede cerrarse.
Me acaba de ocurrir esta noche en una página de televisiones gratuitas, me mandaba 91.195.254.19/?39d79....... y es justamente el virus ch8l0.exe
ResponderEliminarMe ha ocurrido de la 2ªmanera que describesy justamente lo he localizado tal como indicas y en modo seguro lo he limpiado en minutos.
Ahora arranca perfectamente.
Muchas gracias por esta aportación.
Gracias, me alegro de que te haya sido útil.
EliminarEl artículo lo publiqué el 04/04/2012 y solo 2 de los 42 antivirus de VirusTotal.com detectaron el archivo ch8l0.exe como dañino.
Esta mañana he vuelto a subir el ejecutable y ahora ya son 24 de 42 los que lo detectan.
Muchísimas gracias! He seguido tus indicaciones y voilà! vuelve a funcionar mi ordenador. Estoy agradecida de verdad.
ResponderEliminarMe alegro de que te haya servido de ayuda.
EliminarUn saludo.
En mi caso, la última versión del virus de la policia me lo ha puesto difícil.
ResponderEliminarHe tenido que arrancar el ordenador con el maravilloso AVG Rescue CD http://www.avg.com/us-en/avg-rescue-cd-download y borrar el virus que se encontraba en C:\Documents and Settings\Usuario\Configuración local\Temp. En mi caso, el nombre del archivo era 426F564C185B15F3A53C.exe
Antes había conseguido modificar el registro, pero ni así conseguí arrancarlo.
Gracias por los consejos!
me sale la pagina del virus tmb arrancando con el modo seguro y no me deja hacer nada
ResponderEliminar