Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/02/2012
Torna el troià que es fa passar per la policia: com protegir-se (de veritat)
Des de fa unes setmanes veníem observant que les visites i comentaris en una notícia sobre un troià de juny de 2011, augmentaven. Els usuaris buscaven informació en Google, acabaven en l’article, i preguntaven. Les mencions en mitjans generalistes ho confirmaven: el troià es posa de moda i afecta molts usuaris. Vegem com protegir-se de veritat.
Al juny de 2011 es publicava esta notícia: "Vídeo: troià segresta l’ordinador en nom de la policia nacional i acusa l’usuari de terrorista zoofílic". Incloïa un vídeo demostració del troià, que bloquejava el sistema amb l’excusa següent:
En nom de la policia nacional, se l’acusa de: "La seua adreça IP ha sigut registrada en les web il·legals amb contingut pornogràfic orientades a la difusió de la pornografia infantil, zoofília i imatges de violència contra menors! [...] A més, des del seu ordinador es realitza un enviament il·legal (correu brossa) d’orientació pro terrorista."
El troià es basa en els sistemes de pagament online Ukash i Paysafecard. Segons pareix, hi ha gent que inclús els ha pagat: "Paguen una multa policial falsa per veure pornografia en els seus ordinadors".
Resulta si més no curiós que quasi nou mesos després de ser "descobert", el troià protagonitze titulars en mitjans generalistes, i la infecció arribe a tants usuaris. Sobretot, perquè no és especialment sofisticat. Inclús, és prou detectat pels sistemes antivirus, i no hi ha massa variants en la nostra bases de dades (o siga, que pareix que sembla exactament el mateix fitxer que al juny de 2011 el que està infectant tanta gent).
Com protegir-se
Ja que estem rebent nombroses consultes sobre l’assumpte, oferirem una solució real contra este i qualsevol altre tipus de troià paregut que aparega en el futur. Per descomptat, la prevenció passa per evitar executar arxius desconeguts, i actualitzar el programari perquè no continga vulnerabilitats. Si així i tot, no ens fiem de nosaltres, la bona notícia és que és possible impedir que este, i tots els troians que estiguen per vindre i es comporten igual, aconseguisquen segrestar el nostre sistema.
El procés que seguix el troià per a segrestar l’ordinador és modificar un parell de branques del registre. La mateixa que llança "explorer.exe" quan s’arranca el sistema explorer.exe és el procés que s’encarrega de "pintar" l’escriptori: les icones i la barra de ferramentes i de sistema. Hi ha almenys dos llocs en el registre on és possible llançar el que Windows denomina una intèrpret d’ordes (shell) (explorer.exe): una específica per a l’usuari, i una altra per al sistema complet.
Simplement, cal restringir els permisos i impedir que puguem modificar eixes branques. Per a l’ús quotidià del sistema, no cal tindre els privilegis de modificació d’eixes branques. Una vegada més, la solució més efectiva no està en els antivirus, sinó en les ferramentes integrades del mateix Windows.
En Windows XP, la branca del registre que modifica és:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Afegint en la directiva intèrpret d’ordes "shell", el nom del troià, per exemple:
Shell=Explorer.exe. troyano.exe
Així es llancen els dos quan s’inicia el sistema. Si, amb el botó dret, eliminem els permisos d’escriptura en eixa branca per als administradors, ens estarem protegint. Atenció: si s’elimina el permís a SYSTEM, el sistema quedarà inestable. Només cal eliminar el permís d’escriptura als administradors, res més.
En Windows Vista i 7 té un comportament diferent (del que pareix que molt pocs mitjans han parlat). El troià modifica una altra branca específica de l’usuari.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ací crea una altra directiva denominada shell, amb la ruta del troià.
En esta branca tenen permís d’escriptura els administradors i usuaris per defecte. Però normalment no és un permís necessari (llevat que un programari legítim necessite modificar-los), així que en principi no hi ha cap problema a llevar-li’ls.
Per a eliminar els permisos de les branques del registre, primer cal "desheretar" els permisos de les branques superiors, i eliminar la casella "Incloure tots els permisos heretables de l’objecte primari d’este objecte", i copiar-los.
Després eliminem els permisos d’escriptura, per a administradors i usuaris.
Si es vol ser més específic, es pot eliminar només el permís de "crear subclau".
Amb este canvi, el troià mostrarà el seu missatge quan ens infectem, però no podrà perpetuar-lo en l’arrancada, amb la qual cosa la infecció no es repetirà en el següent reinici. Per descomptat, no ens responsabilitzem de qualsevol ús indegut del registre, o conseqüències indesitjades en el sistema a causa d’esta modificació.
Més informació i guia amb captures de pantalla.