17 de Julio de 2024, 21:30:38 *
Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
¿Perdiste tu email de activación?

Ingresar con nombre de usuario, contraseña y duración de la sesión
MUY IMPORTANTE: SOBRE IMÁGENES PILAR RUBIO FERNÁNDEZ | PUEDES IR A PRISIÓN POR DIVULGAR MATERIAL ILEGAL
Noticias: Después de las últimas noticias que están saliendo, ha sido cerrado el subforo de fakes
 
   Inicio   Ayuda Buscar Ingresar Registrarse  
Páginas: [1]   Ir Abajo
 
Autor Tema: Cuidado al descargar de mejortorrent  (Leído 7869 veces)
0 Usuarios y 1 Visitante están viendo este tema.
paconle
Administrador
Super Posteador
*
Desconectado Desconectado

Mensajes: 9528

Registro: :17/09/07
Última visita: Hoy a las 19:29:51


« : 22 de Abril de 2018, 21:27:38 »

Cuidadin al descargar torrents de esa web, por lo visto si descargas un zip te mete un troyano que lo usan para minar bitcoins desde tu pc y al mismo tiempo te mete un keylogger con el que podria robarte contraseñas.

Sacado de forocoches:

Buenas a todos.

Aviso para navegantes. Mejor torrent troyaniza tu máquina para usar tu microprocesador para minar bitcoins. Y no hablo de scripts de minado para webs que puedas bloquear con noscript o NoCoin.

Normalmente los ficheros que te bajas son nombre_película.torrent, pues bien , ahora han metido ficheros con extensión .zip ( no sé si otras, sólo he visto esta de momento ) y va con un malware que en mi caso ha sido este

Tu debes estar registrado para ver los links.
Register or Login
https://github.com/xmrig/xmrig


Se llama xmrig y sirve para minar bitcoins.

Está relativamente bien diseñado, te ocupa el 100 % de la cpu minando ralentizando tu pc, y cuando abres el administrador de tareas ( Taskmgr.exe ) y el malware ve que esto está corriendo, libera CPU hasta dejarla en niveles normales.

Yo me dí cuenta por un contador de rendimiento que tengo externo, si no como digo te vuelves loco.

Directamente formatee , pero realicé estudios del malware antes.

Apunta contra varios DNS y se lanza de la siguiente manera, utilizando Visual Basic:

vbc.exe -o stratum+tcp://akamai.la:3335 -o stratum+tcp://a40-77-229-13.deploy.static.akamaitechnologies.pw:3335 -o stratum+tcp://obviuslyu.duckdns.org:3335 -o stratum+tcp://minecraftsvr.craftx.biz:3335 -o stratum+tcp://185.185.26.117:3335 -k --donate=1 --background --cpu-priority=0 --no-huge-pages --log-file="C:\Users\Quique\AppData\Roaming\3a9e8b5a31e1 583ec40127043fbe8cf7\miner\hash.txt" --print-time=2


También tiene funciones como las de keylogger ( hijos de puta ) así que ha podido pillar contraseñas.

Si a alguno le va mal el pc, revisad bien vuestros procesos y fijaos con especial atención en los VBC.exe , si le dais a propiedades veréis desde dónde está corriendo ( el path ) y si tiráis un poco más del hilo veréis los logs de ejecución, los dns contra los que apunta, los logs de keyloger...

He investigado un poco la web y tiene sede en Ucrania. Esto debería ser denunciable ( a los GC del foro... ).

He eliminado el malware de mi máquina, pero dejo una captura de virus total donde subo el zip, en este caso la película era Los Elegidos, pero puede ser cualquier peli con extensión .zip .

Si alguno baja este mismo fichero en Tu debes estar registrado para ver los links.
Register or Login
https://www.virustotal.com
te lo analizan cerca de 60 antivirus, estaría bien que pongáis el hash para saber cuántas muestras de malware tienen. ( si usan más de un virus) Aunque el nombre de fichero sea diferente, el hash no cambia.

¿Cómo puedes saber si estás afectado?

Se sabe que Mejor torrent está usando este tipo de malware, pero no hay que descartar otras fuentes ( emule, archivos de mega...) Para saber si estás afectado, es recomendable mirar el uso de CPU con algo externo a Microsoft, ya que cuando este tipo de malware ve que el administrador de tareas ( Taskmgr.exe ) está corriendo libera el uso de CPU para evitar ser detectado.

Hay muchos y variados, un shur ha dado esta opción ( Gracias ) , yo en su día usé otro.

SOLUCIÓN

Buenas, está teniendo acogida y me estoy volviendo loco con las citas. Voy a pasar a poner aquí una solución, lo que considero la ÚNICA SOLUCIÓN.

Hay foreros que comentan que un noscript o un nocoin es suficiente y esto NO ES ASÍ. Estas extensiones de navegador sirven para evitar la ejecución de código no deseado como puede ser coinhive.min.js.

También comentan de usar PiHole, una herramienta que actúa de proxy "baneando" de tu navegación todas aquellas urls que son suceptibles de ser de anunciantes. Básicamente te capa la publicidad a nivel de red y no de aplicación ( como ABP)

El problema aquí no es un script en un navegador, es que han infectado los equipos con malware. Tu máquina está infectada, y sólo con arrancar el sistema operativo arrancará XMRIG o sucedáneos.

Hay shurs que dicen de inhabilitar el proceso, quitarlo del arranque, etc... con todos mis respetos a sus respuestas y conocimientos,creo que esto NO ES SOLUCIÓN.

Si está bien implementado ha podido lanzar mil cosas por detrás que no nos demos cuenta ( como el key logger que no tiene por qué ir en el mismo proceso ) y quitaríamos un fallo, pero tal vez siguiese ejecutándose mierda en nuestros equipos.

La única solución fiable es FORMATEAR, con Windows 10 se hace prácticamente solo, no es como el XP de hace años.

Salvad sólo fotos y documentos. Pensad que la música , las películas , el porno y todo eso que tengáis bajado de internet podréis volver a bajarlo el día de mañana.
En línea
paconle
Administrador
Super Posteador
*
Desconectado Desconectado

Mensajes: 9528

Registro: :17/09/07
Última visita: Hoy a las 19:29:51


« Respuesta #1 : 22 de Abril de 2018, 21:42:57 »

Una prueba que podreis hacer para ver si estais infectados:

pulsais el simbolo de windows y la R

Se abre la consola de ejecutar: Escribis %appdata%

Se abrirá la carpeta de windows Roaming con tu usuario. Si hay una carpeta con muchos numeros al azar, entra y mira si está lleno de archivos de texto .log (estarias infectado y eso serian los archivos que recopila el keylogger con tus pulsaciones de teclado)
En línea
paconle
Administrador
Super Posteador
*
Desconectado Desconectado

Mensajes: 9528

Registro: :17/09/07
Última visita: Hoy a las 19:29:51


« Respuesta #2 : 23 de Abril de 2018, 15:21:27 »

No es tan fácil infectarse.Si tienes activado "mostrar extensiones conocidas",tienes clave y antivirus, es muy jodido que te infectes.

Los que mas o menos manejamos asiduamente ordenadores es dificil que nos infectemos, pero en el post de forocoches muchisima gente habia pillado el bicho. Solo con abrir el zip te infectaba, y a poco que te pille pensando en las musarañas, te lo puedes comer enterito.
En línea
morfh
Super Posteador
*
Desconectado Desconectado

Mensajes: 2967

Registro: :30/06/07
Última visita: 29 de Mayo de 2023, 16:19:26


« Respuesta #3 : 27 de Abril de 2018, 22:08:55 »

Es verdad, yo entro a menudo y siempre el Avast me avisa de la infección pero me protege, llevo años sin infectarme usando Avast y malwarebytes anti malware, van genial los dos a la vez.
En línea
jalatruken
Usuario Novato
*
Desconectado Desconectado

Mensajes: 14

Registro: :14/10/07
Última visita: 21 de Mayo de 2024, 17:31:20

« Respuesta #4 : 21 de Diciembre de 2018, 11:04:30 »

muchas gracias por el aviso
En línea
GOSET
Usuario Habitual
*
Desconectado Desconectado

Mensajes: 20

Registro: :21/09/13
Última visita: 16 de Julio de 2024, 23:55:41

« Respuesta #5 : 26 de Enero de 2019, 16:59:23 »

Ahora creo que vuelve a pasar,avast no me deja ni entrar a la pagina,me sale el cartel de amezana bloqueada.
En línea
suskito
Usuario Habitual
*
Desconectado Desconectado

Mensajes: 21

Registro: :20/02/18
Última visita: 16 de Julio de 2024, 20:39:35

« Respuesta #6 : 29 de Marzo de 2019, 21:08:54 »

gracias por el aviso
En línea
ArlesPontifice
Super Posteador
*
Desconectado Desconectado

Mensajes: 1288

Registro: :26/11/09
Última visita: 14 de Julio de 2024, 16:44:08


« Respuesta #7 : 24 de ſeptiembre de 2019, 14:42:18 »

Pues me ha pasado así que formateare :(
En línea

Shenanigan
Usuario Novato
*
Desconectado Desconectado

Mensajes: 18

Registro: :28/04/18
Última visita: 08 de Enero de 2022, 17:17:19

« Respuesta #8 : 10 de Noviembre de 2019, 20:40:57 »

Gracias por el aviso.
En línea
farrunandi
Super Posteador
*
Desconectado Desconectado

Mensajes: 2602

Registro: :15/05/08
Última visita: 16 de Julio de 2024, 21:29:42

tvspainthebest en youtube y dailymotion


WWW
« Respuesta #9 : 26 de Mayo de 2021, 17:47:16 »

Una prueba que podreis hacer para ver si estais infectados:

pulsais el simbolo de windows y la R

Se abre la consola de ejecutar: Escribis %appdata%

Se abrirá la carpeta de windows Roaming con tu usuario. Si hay una carpeta con muchos numeros al azar, entra y mira si está lleno de archivos de texto .log (estarias infectado y eso serian los archivos que recopila el keylogger con tus pulsaciones de teclado)


Gracias por la informacion un saludo
En línea

Tu debes estar registrado para ver los links.
Register or Login
Litos31
Usuario Avanzado
*
Desconectado Desconectado

Mensajes: 166

Registro: :13/03/11
Última visita: Hoy a las 11:01:21

WWW
« Respuesta #10 : 03 de ſeptiembre de 2023, 13:47:02 »

muchisimas gracias por el dato,yo bajaba algo de ahi,pero el pc se ponia extraño
En línea
buster2
Adicto a las famosas
*
Desconectado Desconectado

Mensajes: 598

Registro: :06/08/07
Última visita: Hoy a las 18:31:38


« Respuesta #11 : 03 de ſeptiembre de 2023, 17:32:39 »

Muchas gracias por el aviso
En línea
gallubu
Usuario Novato
*
Desconectado Desconectado

Mensajes: 11

Registro: :11/08/07
Última visita: 04 de ſeptiembre de 2023, 14:54:18

« Respuesta #12 : 04 de ſeptiembre de 2023, 13:17:31 »

Muchas gracias por avisar.
En línea
Páginas: [1]   Ir Arriba
 
 
Ir a:  

Impulsado por MySQL Impulsado por PHP Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines XHTML 1.0 válido! CSS válido!
denunciar por contenido ilegal