ESET Latinoamérica – Laboratorio
« Scam en nombre de ¿ESET?
El spam, un problema de nunca acabar »

Analisis del troyano LockScreen

enero 8, 2010 6:05 pm

LockScreen es un código malicioso del tipo troyano ramsonware al cual hemos sometido a un proceso de análisis en nuestro laboratorio de ESET Latinoamérica,  para estudiar su comportamiento. Si bien su desarrollo no es complejo, presenta una serie de características que lo tornan molesto para el usuario, ya que puede hacer que el mismo crea que debe formatear su sistema como solución, siendo la misma mucho más sencilla.

Una vez que esta amenaza compromete el sistema operativo, lo bloquea de forma tal que impide el acceso al mismo, solicitando un número de serie para volver a su estado original (simulando un secuestro) y ofreciendo una supuesta “herramienta de recuperacion”. En la siguiente captura podemos observar el mensaje de alerta mediante el cual se bloquea el equipo,  junto a la clave que permite desbloquearlo:

LockLa ruta donde se aloja es C:\Windows y el nombre que se le asigna al malware una vez infectado el sistema es benimServerim.Exe.

Además, escribe la siguiente clave en el registro, que le permite ejecutarse cada vez que el sistema se reinicie: HKLM\Software\Microsoft\Windows\CurrentVersion\Run benimAnahtar C:\WINDOWS\benimServerim.Exe

Una vez instalado, controla las siguientes teclas para evitar que su proceso pueda ser eliminado desde el Administrador de Tareas de Windows:

  • VK_CONTROL (Control)
  • VK_SHIFT (Shift)
  • VK_MENU (Alt)
  • VK_MBUTTON (botón del medio del mouse)
  • VK_RBUTTON (botón derecho del mouse)
  • VK_LBUTTON (botón izquierdo del mouse)

Al realizar un procedimiento de Ingeniería Reversa puede verse que el número de serie (visualizado previamente), está dentro del mismo ejecutable:

Contraseña

Este valor se compara contra la clave ingresada por el usuario utilizando la funcion Strcmp (función para comparar cadenas de caracteres). Si el valor ingresado no es el mismo que el esperado; es decir, el valor válido para desbloquear el equipo, redirecciona al usuario a una página web que ofrece la compra de un supuesto Anti-Spyware que en realidad es un rogue:

Contraseña

Si Ud. fue afectado por este troyano simplemente puede utilizar ESET NOD32 para eliminarlo o escribir la contraseña mencionada.

Juan Sacco
Analista de Malware

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Compartir en |


Categorias: Análisis de malware, Malware
4 Comentarios »

4 Comentarios en “Analisis del troyano LockScreen”

  1. ESET Latinoamérica – Laboratorio » Blog Archive » Reporte de amenazas de Enero dijo:
    1-2-2010 a las 5:13 pm

    [...] los códigos maliciosos con mayor volumen de variantes, detectado por ESET NOD32 bajo el nombre de LockScreen, y cuyo método de infección posee conceptos íntimamente relacionados con el [...]

  2. Cristian Borghello dijo:
    11-1-2010 a las 9:56 am

    Hola gustavo

    En el post se señala al final como eliminarlo.

    Cristian

  3. gustavo cesar tinoco hernandez dijo:
    11-1-2010 a las 2:03 am

    Este analisis me da ideas como ataca el troyanolockscreen, pero esbueno saber como eliminarlo,siempre leo blog de laboratorio eset,para estar al dia de los avaces en la luchas de lo virus.graciasjuan sacco y gracias Eset.mantega informados de sus avances y de sus nuevos anti virus.

  4. Matías dijo:
    9-1-2010 a las 7:32 pm

    Hola Juan Sacco.

    Excelente el análisis del troyano LockScreen. Siempre me pregunté cómo funciona, que hace, y esas cosas…
    Muy bueno el blog de laboratorio de ESET, siempre lo leo :)

    Saludos a todos !

    Matías.

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.