Troyano secuestra el pc en nombre de la policía nacional

Presentamos una nueva muestra "ransomware", con la particularidad de que suplanta la imagen de la policía española. Llama la atención la formatan elaborada de conseguirlo. Hemos realizado un vídeo demostración.Intenta que el usuario pague 100 euros por recuperar su equipo,acusándolo de almacenar contenido pedófilo, zoofílico y 

de enviarspam a favor del terrorismo.El troyano ha sido denominado por algunas casas antivirus comoTrojan Ransom.Win32.Chameleon.mw. En estos momentos, es detectado porfirmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegópor primera vez, era solo detectada de forma genérica, por un motor.

 Noes técnicamente novedoso, ni siquiera en su planteamiento, puesto que yahablamos en ocasiones anteriores de varios secuestradores del sistemaque impedían el uso del ordenador culpando al usuario de haber realizadoactos ilegales. Lo llamativo es la forma tan cuidada de engañar alusuario para que termine pagando.

 En nombre de la policía nacional,le acusa de:"Su dirección IP ha sido registrada en las webs ilegales con 

contenidopornográfico orientadas a la difusión de la pornografía infantil,zoofilia e imágenes de violencia contra menores! [...] Además, desdesu ordenador se realiza un envío ilegal (SPAM) de orientación 

proterrorista."http://blog.hispasec.com/laboratorio/images/noticias/policianacional.pngLa imagen que utiliza es la de la policía nacional española, aunque seha visto unos días atrás un troyano de la misma familia que hacíaalusión a la legislación alemana. De hecho, si se observa la imagen, sepuede comprobar que se les ha 

escapado el texto la frase "policíaalemana". El procedimiento es el habitual. El troyano se ejecuta cadavez que se inicia sesión y no permite utilizar el sistema a no ser quese pague.El troyano se basa en los sistemas de pago online Ukash y Paysafecard.Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo,y conseguir

 códigos que pueden valer entre 10 y 500 euros. Y ademásmuestra logos de reputados bancos y casas antivirus para ganarcredibilidad, pero ni la policía ni las empresas tienen nada que ver enel fraude, evidentemente, solo que soportan este tipo de pagos. En elaspecto técnico, es interesante destacar que no es sencillo eludir lapantalla de bloqueo del troyano, puesto que impide arrancar eladministrador de tareas.Invitamos al lector a visualizar el vídeo

 alojado en YouTube (2:20minutos).http://www.youtube.com/watch?v=4KtjhILjdjMCuriosidades:* Se puede escapar del troyano cambiando de usuario. Pero los usuarioscon XP tienen más complicado zafarse. XP lanza por defecto directamenteel administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero elprograma no llega a mostrarlo. Así que no se puede ni cambiar de usuarioni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla 

depresentación que muestra las opciones de bloquear la sesión, cambiar lacontraseña, etc. Esta sí va a permitir cambiar de usuario y matar latarea. Obviamente, hay que haber creado dos usuarios definidos.* Comprueba la dirección IP, el user agent del navegador y el país dela IP y los muestra en pantalla para ganar credibilidad.

 Lo toma delservicio http://tools.ip2location.com/ib2/.* Utiliza el logotipo oficial del cuerpo nacional de policía.* El trabajo de traducción y la redacción son muy malas.* El troyano se ejecuta en el comienzo de cada sesión gracias a la clavecreada en:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell