Analisis del troyano LockScreen

LockScreen es un código malicioso del tipo troyano ramsonware al cual hemos sometido a un proceso de análisis en nuestro laboratorio de ESET Latinoamérica,  para estudiar su comportamiento. Si bien su desarrollo no es complejo, presenta una serie de características que lo tornan molesto para el usuario, ya que puede hacer que el mismo crea que debe formatear su sistema como solución, siendo la misma mucho más sencilla.

Una vez que esta amenaza compromete el sistema operativo, lo bloquea de forma tal que impide el acceso al mismo, solicitando un número de serie para volver a su estado original (simulando un secuestro) y ofreciendo una supuesta “herramienta de recuperacion”. En la siguiente captura podemos observar el mensaje de alerta mediante el cual se bloquea el equipo,  junto a la clave que permite desbloquearlo:

LockLa ruta donde se aloja es C:Windows y el nombre que se le asigna al malware una vez infectado el sistema es benimServerim.Exe.

Además, escribe la siguiente clave en el registro, que le permite ejecutarse cada vez que el sistema se reinicie: HKLMSoftwareMicrosoftWindowsCurrentVersionRun benimAnahtar C:WINDOWSbenimServerim.Exe

Una vez instalado, controla las siguientes teclas para evitar que su proceso pueda ser eliminado desde el Administrador de Tareas de Windows:

  • VK_CONTROL (Control)
  • VK_SHIFT (Shift)
  • VK_MENU (Alt)
  • VK_MBUTTON (botón del medio del mouse)
  • VK_RBUTTON (botón derecho del mouse)
  • VK_LBUTTON (botón izquierdo del mouse)

Al realizar un procedimiento de Ingeniería Reversa puede verse que el número de serie (visualizado previamente), está dentro del mismo ejecutable:

Contraseña

Este valor se compara contra la clave ingresada por el usuario utilizando la funcion Strcmp (función para comparar cadenas de caracteres). Si el valor ingresado no es el mismo que el esperado; es decir, el valor válido para desbloquear el equipo, redirecciona al usuario a una página web que ofrece la compra de un supuesto Anti-Spyware que en realidad es un rogue:

Contraseña

Si Ud. fue afectado por este troyano simplemente puede utilizar ESET NOD32 para eliminarlo o escribir la contraseña mencionada.

Juan Sacco
Analista de Malware

Autor , ESET

  • Matías

    Hola Juan Sacco.

    Excelente el análisis del troyano LockScreen. Siempre me pregunté cómo funciona, que hace, y esas cosas…
    Muy bueno el blog de laboratorio de ESET, siempre lo leo :)

    Saludos a todos !

    Matías.

  • Este analisis me da ideas como ataca el troyanolockscreen, pero esbueno saber como eliminarlo,siempre leo blog de laboratorio eset,para estar al dia de los avaces en la luchas de lo virus.graciasjuan sacco y gracias Eset.mantega informados de sus avances y de sus nuevos anti virus.

    • Hola gustavo

      En el post se señala al final como eliminarlo.

      Cristian

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Reporte de amenazas de Enero()

Síguenos