Hardware y software

Troyano minador

Esmoris
Esmoris #1 Sep '18 :psyduck:

Buenas gente , el otro día bajando una peli de mejortorrent como hice miles de veces sin querer se me metió un troyano , por lo visto los hijos de perra al bajarte el torrent le ponen extensión .vbe y yo por costumbre bajé lo que ponía como .torrent y le di y al ver que no me arrancaba el utorrent me fijé en que la extensión real era .vbe .

La cosa es que el troyano crea un proceso que te chupa de CPU y Conexión por loque pude ver y cuando abres el administrador de sistemas el proceso se cierra para que no lo puedas borrar.
Le he pasado el malwarebytes pero me sigue igual , alguno de vosotros sabe como eliminarlo de forma efectiva sin tener que formatear?

Saludos y gracias cracks!

2
B
[Borrado] #2 Sep '18

deja el admin de tareas siempre abierto, asi te ira bien :laughing:

36
AikonCWD
AikonCWD #3 Sep '18 Git Gud

vbe? de mis favoritos. Puedes pasarme el zip con una muestra de dicho bicho? Podría hacer un análisis online y disección del troyano, y te programo la vacuna para quitártelo.

43 2 respuestas
fracarro
fracarro #4 Sep '18

#1 Yo creo que se a lo que se refiere, te descarga como un archivo en forma de zip en vez de .torrent?

Esmoris
Esmoris #5 Sep '18 :psyduck:

#3 mejortorrent.org , te vas a cualquier descarga al bajártelo verás que es un zip que contiene un archivo "torrent" con terminación vbe

1 respuesta
lupin3rd
lupin3rd #6 Sep '18

#5 tienes pelotas, compi.

El link a cubitos este se te ofrece a programarte una vacuna especifica para ti y lo mandas a buscar el virus por su cuenta. Pero si tendrias que darselo todo masticado y ya de paso descargarle los huevos por el favor que te va a hacer, cabr*n.

47 1 respuesta
Esmoris
Esmoris #7 Sep '18 :psyduck:

#6 Chill my friend , estoy en el trabajo ahora mismo , y en el PC del trabajo no puedo obviamente entrar en páginas de descargas de ese tipo.
Si estuviera en el pc de sobremesa le pasaría la ruta exacta para que se bajase el mismo archivo que yo, no soy nuevo, pero entiendo que sin saber esto lo vieras de esa forma por lo que lo entiendo, pero no es por ser cabrón sino porque ahora mismo en el pc del trabajo no puedo.

PaCoX
PaCoX #8 Sep '18 Ant queen

mira que caer en esos trucos tan viejos xD.

1 - denuncia el torrent
2- activa las extensiones: panel de contol>opciones de carpeta>pestaña ver>desmarcar la opcion de ocultar extensiones conocidas blahblah
3 - deshabilita WSH : regedit y creas el valor HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled a "0"
4 - quita el virus: https://www.bleepingcomputer.com/download/adwcleaner/

2 1 respuesta
Esmoris
Esmoris #9 Sep '18 :psyduck:

#8 ? Creo que he sido educado en todo momento , no se a que viene que en 2 post seguidos me insultéis así por la cara...
Como he dicho bajé mil vecs de esa página y mirando lo que bajo siempre , esta vez coincidió que estaba a otra cosa y le di doble click al torrent sin fijarme bien en la extensión , fallo por mi parte, pero de ahí a insultar... pues ya me dirás tu que necesidad hay, ni que esto fuera forocoches

2 respuestas
AikonCWD
AikonCWD #10 Sep '18 Git Gud

El bicho está encriptado 2 veces. Le he quitado la primera encriptación y la segunda hay que hacerla a mano. De momento me estoy divirtiendo.

8 2 respuestas
PaCoX
PaCoX #11 Sep '18 Ant queen

#9 jaja, no te lo tomes tan mal hombre, ya edito

fracarro
fracarro #12 Sep '18

#10 Si encuentras una solución ami también me interesa, yo creo que también tengo algo de eso infectado por el pc, ya que ni me doy cuenta a la hora de descargar.

1 1 respuesta
KaNuTo
KaNuTo #13 Sep '18

#10 joder que crack, que envidia de saber de eso

y no como yo que no soy capaz de eliminar mierda de publicidad en el microsoft edge, al final lo dejare de usar

1 respuesta
AikonCWD
AikonCWD #14 Sep '18 Git Gud

#12 En ello estoy, pero tengo algo de curro y este bicho va a necesitar toda mi atención xd

#13 Paso 2 fotos del proceso. Si veo algo mínimamente interesante abriré un post con el proceso

primera encriptacion
segunda encriptacion

La primera encriptación superada, la segunda tocará modificar el codigo y hacerlo a mano, en ello estoy.

17 2 respuestas
Nygul
Nygul #15 Sep '18

#14 lo habrás dicho ya mil veces, pero tengo toda la curiosidad viendo todo lo que haces .
Que estudiaste y en qué trabajas ?

1 respuesta
AikonCWD
AikonCWD #16 Sep '18 Git Gud

#15 Estudié un ciclo de grado superior de ASI (Administrador de Sistemas) y trabajo de sysadmin en una pequeña pyme.

8 1 respuesta
E
Esc0rpio #17 Sep '18

Como consejo general de seguridad, recomendais deshabilitar el WSH?

1 respuesta
AikonCWD
AikonCWD #18 Sep '18 Git Gud

#17 Siempre y cuando seas consciente de que lo llevas deshabilitado... sí.

Muchos programas, juegos y procesos usan el runtime de WSH para hacer tareas "legales" y legítimas. Dichos procesos fallarán y no se ejecutarán si lo deshabilitas. Así que si eres consciente de ello y lo activas cuando el sistema/programa lo necesite, estarás OK.

Personalmente veo un coñazo estar quitando y poniendo eso.

2
AikonCWD
AikonCWD #19 Sep '18 Git Gud

#9 Bueno, he podido sacar unos minutos más ahora al medio día:

Por lo que veo, el script hace varias chorradas para evitar ser detectado por los antivirus, luego crea una carpeta en tu disco C:\ con el siguiente formato:

C:\ (NOMBRE DE TU PC) \ (PALABRA RANDOM DE 10 DIGITOS)

Aquí hace el deploy de diferentes ficheros que están codificados en base64. El primero es un EXE con nombre random y al parecer es el runtime de AutoIt.
El segundo es un fichero test.au3, que es un script en AutoIt que no he analizado todavía. Luego crea un shell.txt y un pe.bin FInalmente lo ejecuta todo.

Lo estoy haciendo a pelo sin VM, así que sería mejor que me pases los ficheros que tienes en esa carpeta de C:\ para que los pueda analizar, sobretodo el test.au3 y el shell.txt

11 4 respuestas
wolferine
wolferine #20 Sep '18

Una pregunta fuera de tema, sabéis si la web tumejortorrent.com es segura? Para bajar pelis.

4 respuestas
Esmoris
Esmoris #21 Sep '18 :psyduck:

#19 Ok tio , llego a casa a las 18:30 que sigo en el curro , mil gracias , al llegar te paso los archivos.
#20 En sí hasta la página que me jodió a mí es "segura" porque las 3 primeras veces que te bajas el archivo torrent te baja el vbe infectado, la 3º o 4º vez te baja el torrent limpio. Lo único que hay que fijarse bien lo que te bajas y ya estaría, yo soy ingeniero informático y ayer por andar a otras cosas cometí este fallo tonto, shit happens xD

1 1 respuesta
AikonCWD
AikonCWD #22 Sep '18 Git Gud

#21 Oki, aunque ya te aviso que yo de autoIt controlo 0, dependiendo de lo que haya ahí no podré ayudarte más :(

Alguien que controle mínimamente de autoIt por aquí?

1 respuesta
E
Esc0rpio #23 Sep '18

#20 Totalmente.
Tan solo ten cuidado de que cuando le des a descargar, sea un archivo torrent no un ZIP

1 1 respuesta
fracarro
fracarro #24 Sep '18

#23 ami me pasa igual pero por la inercia le das

tute07011988
tute07011988 #25 Sep '18 Song Kang-ho

#20 como te han dicho, hay veces que te genera un .zip, no guardes la descarga y vuelve a darle, te ofrecerá el .torrent.

Por estas cosas es mejor guardar las descargas manualmente.

Ronso
Ronso #26 Sep '18

#14 Hilo del proceso YA!

5 1 respuesta
PaCoX
PaCoX #27 Sep '18 Ant queen

#22 pon el script del autoit en pastebin a ver xD

1 respuesta
AikonCWD
AikonCWD #28 Sep '18 Git Gud

#26 si termino destripándolo todo lo hago. Pero así a medias pues sería muy cutre

#27 https://anonfile.com/r7X2d3icb2/autoit_rar

He subido los 3 ficheros generados. El EXE no pues parece un interprete de autoIT standar. Se puede bajar el rar sin peligro, son 3 ficheros de texto que se abren con el notepad++

1 respuesta
PaCoX
PaCoX #29 Sep '18 Ant queen

acho pijo ponmelo en pastebin, ahora tengo que descargarlos y abrirlos, que pereza

ruonory
ruonory #30 Sep '18

#19 ¿Puedes pasar el MD5?

Usuarios habituales

Tags