Español | English
rss facebook linkedin Twitter

Sexo, Exploit Kits y Ransomware

Para gustos los colores. Cada uno tiene gustos diferentes y más si hablamos de artistas y actrices. A algunos les gusta Carlos Latre o Dani Martinez, a otros Lady Gaga o Camela y otros se decantan por Laura Lion o Nacho Vidal. No pasa nada con esto, a no ser que el hecho de visualizar algunos vídeos de estos profesionales pueda llevar a que tu equipo se infecte y no puedas volver a usarlo a no ser que pagues por ello. Esto es lo que le pasó a un conocido debido a su amor por la mencionada Laura Lion.


El caso es que el sistema no se podía utilizar, ya que nada más arrancar, y pasados unos segundos de que apareciera el Escritorio, sólo se podía ver una pantalla con un aviso, supuestamente enviado por el “Cuerpo Nacional de Policía”, alertando de que el equipo se había usado para realizar acciones ilegales tales como pornografía infantil, temas relacionados con terrorismo, violencia sobre menores, etc. : "Fue detectado un caso de actividad ilegal. El sistema operativo fue bloqueado por violación de las leyes de España!". Realmente es un aviso impactante para un usuario normal y puede llegar a preocupar bastante, por lo que se puede decir que la ingeniería social en este caso ha superado con creces su propósito de engañar. Sin embargo, el aviso también menciona que si se quiere quitar el bloqueo del ordenador se debe pagar una multa de 100€ mediante los sistemas de pago Ukash o Paysafecard, dato del que se puede desconfiar con facilidad y hace que se llame casi de inmediato al teléfono de la policía. Una vez que esta pantalla aparecía no se podía ejecutar el Administrador de Tareas, volver al Escritorio ni realizar ninguna otra acción.


Después de analizar el sistema infectado en Modo Seguro y sabiendo cuándo se utilizó correctamente por última vez se puede realizar una búsqueda de archivos creados ese día, estableciendo una línea temporal, y así conocer cómo se llegó a infectar el equipo. Gracias a esto se puede encontrar el ejecutable en cuestión y otros archivos interesantes, como unos *.idx con las peticiones HTTP realizadas a un dominio malicioso y un .jar. Las URLs encontradas fueron las siguientes:

http://car.xxxx.info/content/v1.jar
http://car.xxxx.info/w.php?f=23&e=0

Los paths de estas URLs son bastante familiares y pertenecen a un Exploit Kit, más concretamente BlackHole, como se puede ver si se realiza una búsqueda rápida. En este caso la vulnerabilidad que se explotó de forma satisfactoria fue la CVE-2011-3544 de Java, llevando a la descarga de la segunda URL y la ejecución del código malicioso.

El malware encontrado forma parte de la familia de los Ransomware, que, como se ha visto, bloquean el sistema o cifran los archivos pidiendo cierta cantidad de dinero a cambio de desbloquearlo. Normalmente se pide una especie de rescate (del inglés ransom) para liberar el sistema, pero en este caso se hace uso de ingeniería social para engañar al usuario y obtener el dinero. Las acciones más relevantes que realiza son las siguientes:

  • Asegura su inicio creando un acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio para ejecutar rundll32.exe con la DLL descargada.
  • Deshabilita el atajo de teclado para el Administrador de Tareas (Ctrl+Alt+Supr).


  • Muestra el citado aviso, que no es más que una ventana de Internet Explorer con el contenido de la siguiente URL (todavía activa):
http://xxx.yyy.73.43/
  • De la misma forma, intenta descargar un módulo para el robo de credenciales de FTP, VPN, Mensajería instantánea, Navegadores y aplicaciones de Poker de la siguiente URL:
http://xxx.yyy.73.43/images.rar



Para saltarse el bloqueo del código malicioso es posible lanzar una nueva ventana de Internet Explorer con Ctrl+N. Esto es así porque la pantalla que se ve no es más que una ventana de Internet Explorer maximizada, por lo que es posible lanzar una nueva ventana, y, una vez abierta, podemos usar el ratón para hacer click en Archivo/Abrir y lanzar el explorer.exe que nos devolverá el control del sistema.

La forma de eliminarlo sin usar la técnica anterior sería entrar en el Modo Seguro de Windows y ejecutar alguna solución Anti-Spyware / Anti-Malware, o, de forma manual, localizar el acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio y la DLL comentada, y eliminarlos. Para esta infección los archivos se llamaban 0.1998781520909214.exe.lnk y 0.1998781520909214.exe, aunque estos nombres podrían variar. También se podría hacer uso de un Live-CD para realizar la misma tarea.

Este incidente se ha repetido en diferentes puntos de España (y anteriormente en el extranjero) y es una campaña todavía en uso, por lo que es recomendable el uso de protección al visitar ciertos sitios. No sólo hablo de un antivirus actualizado, que en este caso lo estaba, sino de estar al día con las actualizaciones de aplicaciones de terceros y del propio sistema operativo. Como comentaba, cada uno tiene sus gustos y aficiones, pero os recomendaría tener cuidado con ellos cuando se relacionan con las tecnologías, ya que la seguridad debe estar presente siempre ;)


Jose Miguel Esparza
S21sec e-crime

(Blog / Twitter)

16 comentarios:

Anónimo dijo...

Hola. A mi también me ha pasado y lo he resuelto accediendo a restaurar una configuración anterior.
Curiosamente, la opción que me daba era justo antes de que se bloqueara. Antes de eso, borré todos los archivos temporales y todas las cookies de la siguiente manera: como no aparecían ni el escritorio ni los controles del navegador, con alt + tab abrí la carpeta escritorio y de ahí accedí a la carpeta del Explorer, botón derecho, propiedades...
De cómo llegué a restaurar una configuración anterior no me acuerdo pero si alguien lo cree interesante, trataré de averiguarlo.
Quizás os parezca una bobada pero mis conocimientos informáticos son muy limitados y me siento orgulloso de haberlo conseguido.

Anónimo dijo...

Muy buen artículo y muy bien explicado. La BIT lo tenía en su página de alertas, pero no ponia como desinfectarlo:
http://www.policia.es/org_central/judicial/udef/alertas/20120112_1.html

Anónimo dijo...

a mi me ha pasado y 2 veces ya.....ninguna de ellas consultando contenido de adultos sino por intentar cerrars spams de las paginas....la primera vez lo consegui quitar reiniciando el pc y el antivirus lo detecto......la segunda tube que formatear(hoy mismo xD)!!!gran articulo!!gracias!!

Anónimo dijo...

bueno pero que ya no se puede navegar tranquilo! no me ha pasado pero con una buena firewall no creo que entre este malware, no?
mira si voy a mandar una paysafecard por desbloquear! ni se me acurriria pensarlo. Supongo que borraría todos los archivos temporales y las cookies como escribio el amigo o sino un buen scan con el antivirus o con algun programa que detecte malware

saludos

Jose Miguel Esparza dijo...

Muchas gracias a todos por los comentarios!

@Anónimo1: Es una muy buena táctica, es para estar orgulloso, te aseguro que el 90% de los usuarios no hubiera sabido qué hacer. Sobre lo que hablas de los puntos de restauración aquí dejo un enlace de preguntas más frecuentes para Vista, se puede buscar lo mismo para otro sistema operativo:


@Anónimo2: Gracias por el enlace!

@Anónimo3: En el caso del artículo se trataba de una visita a un sitio de adultos, pero, como comentas, no es ni mucho menos la única forma de llegar a infectarte: cualquier página comprometida, adjuntos en correos, SPAM...

@Anónimo4: Depende de qué tipo de Firewall quizá, pero en la mayoría de los casos creo que no valdría de mucho, ya que todas las conexiones se realizan desde y hacia el puerto 80, una navegación normal, por lo que no saltarían alarmas a no ser que el dominio esté en una lista negra o algo parecido. Además, como comenté en el post, el sistema infectado tenía la última versión actualizada de un famoso antivirus, y aún así se infectó, por lo que hay una ventana de tiempo hasta que se detecta la amenaza globalmente en que los usuarios no están protegidos. La clave aquí es tener también todas las demás aplicaciones actualizadas y rezar para no toparnos con un 0-day ;)

Un saludo!

Jose Miguel Esparza dijo...

Buenas,

he actualizado el post con una forma de saltarse el bloqueo, lanzando una nueva ventana de Internet Explorer con Ctrl+N.

Saludos!

PAco dijo...

WTF, este virus es lo peor que haya visto, estaba ahi viendo a la wenorra y es como si me viniera un negro gorila y me la metiera por detras, por cierto, lo resolvi restaurando sistema tambien

Anónimo dijo...

a mi no me ha pasado nunca! será porque tengo un buen antivirus y firewall. No sé. De todos modos no mandaría mi tarjeta prepaga a desconocidos asi como asi.

Me gusto mucho que publiques las soluciones para "desinfectarse" en este tipo de casos.

Gracias

Anónimo dijo...

No me deja entrar en modo seguro ni restaurar sistema ni nada. Que hago?????

Jose Miguel Esparza dijo...

Gracias por los comentarios anónimos y no anónimos ;)

Con respecto al último comentario, podrías intentar arrancar con un Live-CD, buscar los archivos creados cuando viste el aviso por primera vez y entonces seguramente localizarás el binario malicioso. Espero que esto te sirva...

Un saludo!

kevin|Escorts dijo...

Es de hijos de ..... el crear esos scripts para joder a la gente,desgraciadamente internet esta llena de personas que se aburren y no tienen nada mas quwe hacer,en vez de crear cosas constructivas o que te ayuden crean programas maliciosos y encima para sacarte la pasta,esta bien ganarse la vida pero no jodiendo,podemos visitar un monton de páginas en la que se llena de banners luminosos induciendote a pulsarlos o dando avisos falsos anunciandote que te faltan plugins o actualizaciones con el unico objetivo de pescarte y encima no las cierran,¿a quien le interesa que esto se mantenga?
y menos mal que hay páginas como esta que nos ayuda a solventar estos problemas.

Francisco| Implantes dentales dijo...

Gracias por la info, me paso lo mismo y he podido arreglarlo sin problemas posteriores,menudo alivio.
Un saludo.

albañil dijo...

muy buena explicación, ese maldito virus!!!!. Una buena solución es pasarlo por el malawarebits

Fran dijo...

Me temo que el truco de abrir nueva ventana con control+N ya no funciona, al menos no en la infección del ordenador que estoy reparando

S21sec e-crime dijo...

Buenos días Fran!

Gracias por responder! Los ramsomware van aplicando mas medidas para que no se puedan ejecutar ciertas acciones. Una de las cosas que se pueden hacer es substituir el stick keys del directorio de Windows para poder invocar shell y hacer lo que necesitemos desde ahí.

Saludos

Luis Odontologo dijo...

Excelente, me has salavado. Te lo agradezco. Me había pasado exactamente igual. Al menos no tuve que formatear la maquina. Muchas Gracias. Saludos Cordiales.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login