|
Buena broma.
Cita:
|
|
Muchas veces nos tomamos en broma a estos virus, hasta que un día nos los encontramos, y entonces ya no tanto. Gracias por la información… http://i.imgur.com/ZClq2.gif |
Quiza si chexus tienes razon pero yo por lo menos hablo desde al experienza, esto ya me ha pasado a mi hace mucho, este en concreto no estan nuevo, lo que si ha habido un rebrote ya confirmado, y como ya explico en mi primera respuesta en muchos de estos casos basta con reiniciar el equipo y esta solucionado.
|
El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su éxito
El virus de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito" Este malware está consiguiendo un alto nivel de infectados y notoriedad en medios de comunicación de toda Europa al usar la imagen de los cuerpos del Estado para amedrentar al infectado. Hemos investigado la raíz del problema: ¿Con qué método se infectan los usuarios? ¿Qué hacen realmente para que el malware se ejecute en sus sistemas? ¿Por qué tanto "éxito"? Tras varios casos analizados en nuestro laboratorio de análisis forense, las investigaciones previas de Emiliano Martínez y las evidencias encontradas en los ordenadores infectados, hemos confirmado que se está utilizando activamente una vulnerabilidad en Java para conseguir ejecutar código. Las circunstancias coincidían en los casos afectados: visitas a determinados sitios de descarga directa o pornográficos (repletos de publicidad agresiva no controlada directamente por el servidor) y sistemas desactualizados. Según nuestros análisis, poco antes de la ejecución del troyano, se descargan ciertos objetos que quedan presentes en la caché de Java En la figura se observa la caché de Java, además de evidencias del malware: carpeta kodak (como se denomina en sus últimas versiones). Dentro, los archivos "ip.txt" y "pic.bmp". Este último contiene la conocida imagen de la policía nacional según el país. También se comprueba en la imagen que el usuario mantiene dos versiones de Java obsoletas y con numerosos problemas de seguridad. La vulnerabilidad inicial que desencadena el proceso, según ha investigado nuestro compañero Javier Rascón, se está utilizando ampliamente en kits de explotación de vulnerabilidades que se venden en el mercado negro como Scalaxy o Golfhole. Detección antivirus Para detener el ataque, los antivirus podrían haber detectado en primera instancia el intento de infección (el exploit) y en segunda instancia el ejecutable en sí. En ambos estadios del ataque, los niveles de detección por firmas han resultado insuficientes. Nuestros datos en VirusTotal confirman que, por firmas, los ficheros Java son muy poco detectados. Apenas 6 motores por firmas detectan el exploit y solo uno detecta el binario ofuscado. Con respecto al ejecutable en sí, los datos tampoco son muy alentadores. La inmensa mayoría de las muestras que hemos recibimos en VirusTotal a finales de febrero, eran detectadas por uno o dos motores la primera vez que fueron enviadas. Elevándose días después a aproximadamente hasta 26 los motores que reconocían el malware. Por tanto, en estos momentos actualizar los sistemas (en especial Java) es esencial para protegerse. El secreto del éxito El éxito de este malware se basa a nuestro entender en cuatro factores:
Fuente: Hispasec |
Recibí este correo y me pareció bien compartirlo |
Virus policia nacional-Solución
hoy me he levantado con esto en mi pc.Es un virus y parece que he conseguido eliminarlo. Lo dejo aquí por si alguien tiene este mismo problema, que me pregunte, que parece que esta muy de moda.
http://i.imgur.com/HBFu4.png |
Sí, está muy de moda... varios del Foro lo han adquirido... y denunciado!!! Cómo lo arreglaste? Sería bueno tener la forma de solucionarlo para todos aquellos que lleguen a infectarse. Salu2
|
Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
Desde hace unas semanas veníamos observando que las visitas y comentarios en una noticia sobre un troyano de junio de 2011, aumentaban. Los usuarios buscaban información en Google, acababan en el artículo, y preguntaban. Las menciones en medios generalistas lo confirmaban: el troyano se pone de moda y afecta a muchos usuarios. Veamos cómo protegerse de verdad. En junio de 2011 publicábamos esta noticia: "Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico". Incluía un vídeo demostración del troyano. Bloqueaba el sistema con la siguiente excusa: En nombre de la policía nacional, le acusa de: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista." El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: "Pagan una multa policialfalsa por ver porno en sus ordenadores" Resulta cuando menos curioso que casi nueve meses después de ser "descubierto", el troyano protagonice titulares en medios generalistas, y la infección llegue a tantos usuarios. Sobre todo, porque no es especialmente sofisticado. Incluso, es bastante detectado por los sistemas antivirus, y no existen demasiadas variantes en nuestra bases de datos (o sea, que parece ser que viene siendo exactamente el mismo fichero que en junio de 2011 el que está infectando a tanta gente). Cómo protegerse Puesto que estamos recibiendo numerosas consultas sobre el asunto, vamos a ofrecer una solución real contra este y cualquier otro tipo de troyano parecido que aparezca en el futuro. Por supuesto, la prevención pasa por evitar ejecutar archivos desconocidos, y actualizar el software para que no contenga vulnerabilidades. Si aun así, no nos fiamos de nosotros mismos, la buena noticia es que es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar nuestro sistema. El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo. Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows. En XP, la rama del registro que modifica es: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo: Shell=Explorer.exe, troyano.exe Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más. En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Aquí crea otra directiva llamada shell, con la ruta del troyano. http://4.bp.blogspot.com/-S5Pz488Axw...s640/reg5_.png En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos. Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos. http://1.bp.blogspot.com/-7PgW4v40AU...1600/reg1_.png http://1.bp.blogspot.com/-BaavnnDKmF...1600/reg2_.png Luego eliminamos los permisos de escritura, para administradores y usuarios. http://4.bp.blogspot.com/-yBcC4LB-JT...1600/reg3_.png Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave". http://1.bp.blogspot.com/-G7VE7cUHoc...1600/reg4_.png Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto. Más información: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico http://unaaldia.hispasec.com/2011/06...enador-en.html Una estafa informática te acusa de descargar pornografía y exige 100 euros para solucionarlo http://www.cadenaser.com/tecnologia/...srcsrtec_1/Tes "Pagan una multa policial falsa por ver porno en sus ordenadores" http://www.lavozdegalicia.es/noticia...02P24C8991.htm |
Puse un tema en "Seguridad" " Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)" con un explicativo de cómo solucionar este troyano.
|
| La franja horaria es GMT -4. Ahora son las 21:21. |
Desarrollado por: vBulletin® Versión 3.8.1
Derechos de Autor ©2000 - 2025, Jelsoft Enterprises Ltd.
Ad Management by RedTyger