Avisos 17 de January, 2012

Troià amb el nom

CESICAT-CERT ha estat alertat sobre diversos casos d’infecció amb un tipus de codi maliciós que utilitza la imatge d’organismes oficials i forces policials de diferents països, com per exemple la Policia Nacional Espanyola.
 
Aquest troià bloqueja l’equip i intenta persuadir l’usuari amb la finalitat de pagar una multa falsa segons una pressumpta possessió de material il·legal (pornografia infantil, terrorisme, violència contra menors, contingut multimèdia protegit por drets d’autor, etc).

Recursos afectats: Usuaris de Sistema Operatiu Windows que visitin una pàgina maliciosa, i no tinguin tot el programari del sistema i/o antivirus actualitzat.

Impacte: Infecció, bloqueig d’accés a l’equip.

Solució:

Recomanacions en cas de que el seu equip estigui infectat:
 

• No cedir al xantatge, l’ordinador continuarà bloquejat.

• En cas de que no sigui vostè el responsable de l’equip infectat, contactar amb l’administrador o responsable de seguretat de la seva organització o empresa, o en el seu defecte
 
amb CESICAT-CERT mitjançant correu electrònic a través de cert@cesicat.cat, o per telèfon al 902 112 444.

• Per a recuperar l’accés a l’equip:
 
- Si tenim més d’un usuari creat al sistema, i utilitza sistema Operatiu Windows Vista o 7, és possible utilitzar un altre usuari vàlid al sistema clicant Ctrl+Alt+Suprimir, i utilizant la funcionalitat "Canviar d’usuari".
 
- Arrancar en "mode segur" ("A prova d’anomalies"), reiniciant l’equip i clicant la tecla F8, abans de que es mostri la pantalla de càrrega del sistema Operatiu Windows.

• Una vegada tingui accés a l’equip, realitzi un anàlisis amb un antivirus actualitzat, si es possible diferent al que tingués instal·lat prèviament, no va detectar inicialment el malware.
 
- Si l’antivirus no detecta el malware, pot intentar eliminar la següent clau de registre que el malware utilitza per a executar-se a l’inici (recomanat només per a usuaris avançats):
 
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell
 
Recomanacions generals per a evitar aquest tipus d’infeccions:
 
• Instal·lar un antivirus amb protecció resident i mantenir-ho actualitzat.
 
• Actualitzar el navegador i els afegits actualitzats: Java, Flash, Adobe Reader, Windows Media Player.
 
• Activar en el navegador el bloqueig d'afegits i d'execució de codi javascript per defecte, activant-lo manualment només en llocs de confiança.
 
• Evitar fer clic a enllaços sospitosos.
 
• Desconfiar de notificacions redactades incorrectament i que no venguin pels canals oficials i habituals de la Policia.


Detall:

Aquest codi maliciós per la seva propagació, utilitza el kit d'explotació "Blackhole", d’aquesta forma quan l’usuari visita la web maliciosa (enllaç rebut mitjançant correu brossa, pàgines legítimes que han estat compromeses, sistemes de comunicació...),  s'intenta explotar vulnerabilitats de seguretat associades al  Sistema Operatiu Windows i de múltiples afegits (Java, Flash, Adobe, Windows Media Player...), amb la finalitat d’executar-se i instal·lar el troià.
 
Aquest kit és un dels més populars entre els cibercriminals a l’actualitat, i un dels més actualitzats amb exploits. No obstant, totes les vulnerabilitats que utilitza son públiques, i existeix pegat o actualització per posar-hi solució.
 
Una vegada  l’usuari  s’ha infectat, el troià bloqueja l’equip,  no deixa que l’usuari pugui realitzar cap acció, i demana el pagament de una multa d’uns 100€ per suposada possessió de material il·legal (pornografia infantil, terrorisme, violència contra menors, contingut multimèdia protegit per drets de autor). Aquest tipus de codi maliciós que sol·licita  rescat, a canvi de tornar a l’usuari la seva informació, o control de l’equip compromès, s’anomena "ransomware" (ransom és "rescat" en anglès).
 
Recordem, que encara que es pagui el rescat, no es recupera l’accés a l’equip.
 

Els diferents troians  identificats amb un comportament similar, poden haver més:
 
• Trojan:Win32/Ransom.FS
 
• Trojan:Win32/Ransom.DU
 
• Trojan:Win32/Ransom.FL
 
• Trojan:Win32/Lockscreen.BO
 

Organismes identificats amb suplantació d’imatge:
 
• España:
 
- Policia Nacional
 
• Alemanya:
 
- "Bundes Polizei" (Policía).
 
- GEMA (Societat de drets d’autor alemana, similar a la SGAE)
 
• Suissa: Departament Federal de Justícia i Policia
 
• Regne Unit: "Metropolitan Police"
 
• Holanda: "Politie".
 
• França "Gendarmerie nationale"
 
Referències
 
Una-al-día de Hispasec
 
http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html
 

Entrada en el bloc de Microsoft Malware Protection Center
 
http://blogs.technet.com/b/mmpc/archive/2011/12/19/disorderly-conduct-localized-malware-impersonates-the-police.aspx
 

INTECO – Avís de Seguretat i solució pas a pas d’INTECO-CERT.
 
http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/virus_muestra_falso_mensaje_cuerpo_nacional_policia_20120111
 
POLICIA NACIONAL – Avís de seguretat
 
http://www.policia.es/org_central/judicial/udef/alertas/20120112_1.html

Publicat a: Avisos