paconle
Administrador
Super Posteador
Desconectado
Mensajes: 9715
Registro: :17/09/07
Última visita: Hoy a las 17:51:44
|
|
« : 22 de Abril de 2018, 20:27:38 » |
|
Cuidadin al descargar torrents de esa web, por lo visto si descargas un zip te mete un troyano que lo usan para minar bitcoins desde tu pc y al mismo tiempo te mete un keylogger con el que podria robarte contraseñas. Sacado de forocoches: Buenas a todos.
Aviso para navegantes. Mejor torrent troyaniza tu máquina para usar tu microprocesador para minar bitcoins. Y no hablo de scripts de minado para webs que puedas bloquear con noscript o NoCoin.
Normalmente los ficheros que te bajas son nombre_película.torrent, pues bien , ahora han metido ficheros con extensión .zip ( no sé si otras, sólo he visto esta de momento ) y va con un malware que en mi caso ha sido este
Tu debes estar registrado para ver los links. Register or Loginhttps://github.com/xmrig/xmrig
Se llama xmrig y sirve para minar bitcoins.
Está relativamente bien diseñado, te ocupa el 100 % de la cpu minando ralentizando tu pc, y cuando abres el administrador de tareas ( Taskmgr.exe ) y el malware ve que esto está corriendo, libera CPU hasta dejarla en niveles normales.
Yo me dí cuenta por un contador de rendimiento que tengo externo, si no como digo te vuelves loco.
Directamente formatee , pero realicé estudios del malware antes.
Apunta contra varios DNS y se lanza de la siguiente manera, utilizando Visual Basic:
vbc.exe -o stratum+tcp://akamai.la:3335 -o stratum+tcp://a40-77-229-13.deploy.static.akamaitechnologies.pw:3335 -o stratum+tcp://obviuslyu.duckdns.org:3335 -o stratum+tcp://minecraftsvr.craftx.biz:3335 -o stratum+tcp://185.185.26.117:3335 -k --donate=1 --background --cpu-priority=0 --no-huge-pages --log-file="C:\Users\Quique\AppData\Roaming\3a9e8b5a31e1 583ec40127043fbe8cf7\miner\hash.txt" --print-time=2
También tiene funciones como las de keylogger ( hijos de puta ) así que ha podido pillar contraseñas.
Si a alguno le va mal el pc, revisad bien vuestros procesos y fijaos con especial atención en los VBC.exe , si le dais a propiedades veréis desde dónde está corriendo ( el path ) y si tiráis un poco más del hilo veréis los logs de ejecución, los dns contra los que apunta, los logs de keyloger...
He investigado un poco la web y tiene sede en Ucrania. Esto debería ser denunciable ( a los GC del foro... ).
He eliminado el malware de mi máquina, pero dejo una captura de virus total donde subo el zip, en este caso la película era Los Elegidos, pero puede ser cualquier peli con extensión .zip .
Si alguno baja este mismo fichero en Tu debes estar registrado para ver los links. Register or Loginhttps://www.virustotal.com te lo analizan cerca de 60 antivirus, estaría bien que pongáis el hash para saber cuántas muestras de malware tienen. ( si usan más de un virus) Aunque el nombre de fichero sea diferente, el hash no cambia.
¿Cómo puedes saber si estás afectado?
Se sabe que Mejor torrent está usando este tipo de malware, pero no hay que descartar otras fuentes ( emule, archivos de mega...) Para saber si estás afectado, es recomendable mirar el uso de CPU con algo externo a Microsoft, ya que cuando este tipo de malware ve que el administrador de tareas ( Taskmgr.exe ) está corriendo libera el uso de CPU para evitar ser detectado.
Hay muchos y variados, un shur ha dado esta opción ( Gracias ) , yo en su día usé otro.
SOLUCIÓN
Buenas, está teniendo acogida y me estoy volviendo loco con las citas. Voy a pasar a poner aquí una solución, lo que considero la ÚNICA SOLUCIÓN.
Hay foreros que comentan que un noscript o un nocoin es suficiente y esto NO ES ASÍ. Estas extensiones de navegador sirven para evitar la ejecución de código no deseado como puede ser coinhive.min.js.
También comentan de usar PiHole, una herramienta que actúa de proxy "baneando" de tu navegación todas aquellas urls que son suceptibles de ser de anunciantes. Básicamente te capa la publicidad a nivel de red y no de aplicación ( como ABP)
El problema aquí no es un script en un navegador, es que han infectado los equipos con malware. Tu máquina está infectada, y sólo con arrancar el sistema operativo arrancará XMRIG o sucedáneos.
Hay shurs que dicen de inhabilitar el proceso, quitarlo del arranque, etc... con todos mis respetos a sus respuestas y conocimientos,creo que esto NO ES SOLUCIÓN.
Si está bien implementado ha podido lanzar mil cosas por detrás que no nos demos cuenta ( como el key logger que no tiene por qué ir en el mismo proceso ) y quitaríamos un fallo, pero tal vez siguiese ejecutándose mierda en nuestros equipos.
La única solución fiable es FORMATEAR, con Windows 10 se hace prácticamente solo, no es como el XP de hace años.
Salvad sólo fotos y documentos. Pensad que la música , las películas , el porno y todo eso que tengáis bajado de internet podréis volver a bajarlo el día de mañana.
|
|
|
En línea
|
|
|
|
|
paconle
Administrador
Super Posteador
Desconectado
Mensajes: 9715
Registro: :17/09/07
Última visita: Hoy a las 17:51:44
|
|
« Respuesta #1 : 22 de Abril de 2018, 20:42:57 » |
|
Una prueba que podreis hacer para ver si estais infectados:
pulsais el simbolo de windows y la R
Se abre la consola de ejecutar: Escribis %appdata%
Se abrirá la carpeta de windows Roaming con tu usuario. Si hay una carpeta con muchos numeros al azar, entra y mira si está lleno de archivos de texto .log (estarias infectado y eso serian los archivos que recopila el keylogger con tus pulsaciones de teclado)
|
|
|
En línea
|
|
|
|
paconle
Administrador
Super Posteador
Desconectado
Mensajes: 9715
Registro: :17/09/07
Última visita: Hoy a las 17:51:44
|
|
« Respuesta #2 : 23 de Abril de 2018, 14:21:27 » |
|
No es tan fácil infectarse.Si tienes activado "mostrar extensiones conocidas",tienes clave y antivirus, es muy jodido que te infectes.
Los que mas o menos manejamos asiduamente ordenadores es dificil que nos infectemos, pero en el post de forocoches muchisima gente habia pillado el bicho. Solo con abrir el zip te infectaba, y a poco que te pille pensando en las musarañas, te lo puedes comer enterito.
|
|
|
En línea
|
|
|
|
morfh
Super Posteador
Desconectado
Mensajes: 2967
Registro: :30/06/07
Última visita: 29 de Mayo de 2023, 15:19:26
|
|
« Respuesta #3 : 27 de Abril de 2018, 21:08:55 » |
|
Es verdad, yo entro a menudo y siempre el Avast me avisa de la infección pero me protege, llevo años sin infectarme usando Avast y malwarebytes anti malware, van genial los dos a la vez.
|
|
|
En línea
|
|
|
|
jalatruken
Usuario Novato
Desconectado
Mensajes: 14
Registro: :14/10/07
Última visita: 15 de ſeptiembre de 2024, 08:45:10
|
|
« Respuesta #4 : 21 de Diciembre de 2018, 10:04:30 » |
|
muchas gracias por el aviso
|
|
|
En línea
|
|
|
|
GOSET
Usuario Habitual
Conectado
Mensajes: 20
Registro: :21/09/13
Última visita: Hoy a las 19:56:07
|
|
« Respuesta #5 : 26 de Enero de 2019, 15:59:23 » |
|
Ahora creo que vuelve a pasar,avast no me deja ni entrar a la pagina,me sale el cartel de amezana bloqueada.
|
|
|
En línea
|
|
|
|
suskito
Usuario Habitual
Desconectado
Mensajes: 21
Registro: :19/02/18
Última visita: 09 de Noviembre de 2024, 22:24:07
|
|
« Respuesta #6 : 29 de Marzo de 2019, 20:08:54 » |
|
gracias por el aviso
|
|
|
En línea
|
|
|
|
|
ArlesPontifice
Super Posteador
Desconectado
Mensajes: 1284
Registro: :25/11/09
Última visita: 16 de Octubre de 2024, 20:48:37
|
|
« Respuesta #7 : 24 de ſeptiembre de 2019, 13:42:18 » |
|
Pues me ha pasado así que formateare :(
|
|
|
En línea
|
|
|
|
Shenanigan
Usuario Novato
Desconectado
Mensajes: 18
Registro: :28/04/18
Última visita: 08 de Enero de 2022, 16:17:19
|
|
« Respuesta #8 : 10 de Noviembre de 2019, 19:40:57 » |
|
Gracias por el aviso.
|
|
|
En línea
|
|
|
|
farrunandi
Super Posteador
Desconectado
Mensajes: 2606
Registro: :15/05/08
Última visita: Hoy a las 00:31:54
tvspainthebest en youtube y dailymotion
|
|
« Respuesta #9 : 26 de Mayo de 2021, 16:47:16 » |
|
Una prueba que podreis hacer para ver si estais infectados:
pulsais el simbolo de windows y la R
Se abre la consola de ejecutar: Escribis %appdata%
Se abrirá la carpeta de windows Roaming con tu usuario. Si hay una carpeta con muchos numeros al azar, entra y mira si está lleno de archivos de texto .log (estarias infectado y eso serian los archivos que recopila el keylogger con tus pulsaciones de teclado)
Gracias por la informacion un saludo
|
|
|
En línea
|
|
|
|
Litos31
Usuario Avanzado
Desconectado
Mensajes: 170
Registro: :13/03/11
Última visita: Hoy a las 12:51:43
|
|
« Respuesta #10 : 03 de ſeptiembre de 2023, 12:47:02 » |
|
muchisimas gracias por el dato,yo bajaba algo de ahi,pero el pc se ponia extraño
|
|
|
En línea
|
|
|
|
buster2
Adicto a las famosas
Desconectado
Mensajes: 598
Registro: :06/08/07
Última visita: Hoy a las 09:48:26
|
|
« Respuesta #11 : 03 de ſeptiembre de 2023, 16:32:39 » |
|
Muchas gracias por el aviso
|
|
|
En línea
|
|
|
|
|
gallubu
Usuario Novato
Desconectado
Mensajes: 11
Registro: :11/08/07
Última visita: 04 de ſeptiembre de 2023, 13:54:18
|
|
« Respuesta #12 : 04 de ſeptiembre de 2023, 12:17:31 » |
|
Muchas gracias por avisar.
|
|
|
En línea
|
|
|
|
|