#20 mejortorrent ya te cuela caquita minera solo navegando sin descargarte nada.
#28 el fichero ese que has pasado no se parece a nada a un script de autoit, no se si esta compilado o que pero un script no es xd
cuelga el vbs tmb
#33 Eso he visto, el tema es que no controlo nada de autoIT.
La único que me queda es detonar el payload del vbs en una VM y capturar los cambios en el sistema a ver "qué hace", pero me da bastante pereza... ahora te cuelgo el vbs. Lo quieres encriptado o mi versión desencriptada y con las variables renombradas? xd
#35 Lo estoy intentando bajar de nuevo, y ahora me baja todo ficheros *.torrent en lugar del zip infectado xD. Alguien tiene una muestra del zip? aquí en el curro no la tengo
#36 Yo cuando este por casa puedo mirar si tengo alguno y te lo mando, pero tienes que ir dandole llegara un punto que te lo bajara en .zip
A mi me paso algo igual, y ahora tengo un AutoIt que no tengo ni puta idea de que me esta haciendo. Le rule el adwcleaner y les ha cambiado el nombre pero me siguen aparenciendo en Inicio
http://prntscr.com/kzfs3x
#19 Tio y porque no en el proximo juguetito que te encuentres, te streameas como programas el antidoto?
#41 No estaría nada mal hacerlo. Hay algún que otro streamer que hace cosillas así. El tema es que suelo ponerme musica a tope, me toco la nariz, me rasco el culo etc... mientras voy debuggando. Si hago streaming estaría más tiempo vigilando en no hacer esas cosas por cam que arreglando el problema xD.
edit:
El script vbe es un dropper (un pequeño programa que solo se encarga de colar un bicho más grande, en este caso un script en autoIt). El autoIt ejecuta un minero en tu PC. El otro fichero binario es un keylogger, captura pulsaciones de teclas y passwords de los formularios web y los envía a un servidor externo.
Deberías poder limpiar todo con: rkill + adwcleaner + malwarebytes/drweb
Esta noche haré detonación en mi VM he intentaré capturar el tráfico del keylogger, a ver si puedo reversar los credenciales y robar los datos.
Vale, ya estoy en casa.
Estos de mejortorrent son unos hijos de puta. La primera vez que entras en su web y descargas algo, el enlace es un zip con el virus.vbe
Luego si refrescas la web o entras otro día, las siguientes descargas con *.torrent normales. Te meten una cookie para saber si ya te has bajado el virus al menos la primera vez.
Vuelvo a tener una copia para trastear, voy a hacer vm-detonate y a capturar tráfico.
Bueno, detonación realizada. Ha sido super divertido: (click derecho / ver imagen, para ver las fotos en grande)
Esto es lo que se genera por el dropper en vbe, pasamos a analizar los cambios del sistema con procmon
Podemos ver como al final, el vbe crea y ejecuta el runtime de autoIt:
El autoIt genera y carga los ficheros shell.txt y pe.bin. Uno es un keylogger y el otro un minero. Finalmente busca el fichero vbc.exe para iniciar la injección de código:
Busca algunos antivirus en el sistema para desactivarlos, finalmente carga el minero dentro de systeminfo.exe, se puede ver en la command line:
Luego me ha dado por diseccionar el keylogger, deja las capturas en local y luego las envía por internet, he podido descubrir la ruta, os dejo un ejemplo d elo que hace:
Y para terminar, he puesto a analizar el tráfico y he podido capturar al minero en plena acción, nada relevante:
A ver si saco tiempo y creo una vacuna para desinfectar el sistema. A que es divertido esto de destripar software? A mi me flipa xd
EDIT: Se me olvida. He buscado y encontrado el codigo fuente del minero, es público y conocido: https://github.com/mwsrc/PlasmaRAT/blob/master/Stub/Misc/Miner.vb
#46 quien supiera, parece la ostia de interesante, por magnet link también puede pasar???
#46 ahora una pregunta, que habria que hacer para hacer una limpieza de pc por si acaso tienes mierdecilla de esta?
Combinacion de antimalware/antivirus y demas que recomiendas?
Buenas noches!
Aprovecho el post (no se donde ponerlo), alguien que sepa solucionar este problema?
Me pasa con algunas otras webs, y no tengo ni idea de por que.
Muchas gracias.
Ahora os contesto a los de arriba, sigo destripando el bicho:
Estoy mirando qué métodos de persistencia utiliza. Salvo que me haya dejado algo por alto, el bicho utiliza un doble método para iniciarse tras un reinicio:
- Shell_Startup method
- Regedit:Run method
Primero de todo mataremos los procesos activos, desde el administrador de tareas mataremos conhost
, systeminfo
y vbc
. Luego ejecutamos (Win+R) el comando shell:startup
, se nos abrirá la carpeta Inicio del Menú Inicio, localizaremos un icono como el de la foto con un nombre extraño. Lo borramos.
Para el método de regedit, ejecutamos regedit.exe
y nos vamos a la clave que vemos en la foto. Encontraremos una entrada extraña cuyo valor termina con el famoso test.au3
. Eliminamos la entrada y cerramos el regedit.
Ahora borraremos los residuos del bicho: Una carpeta random en C:\programdata
y otra carpeta oculta en C:\ con el nombre de nuestro PC. Podrás veríficar que son las carpetas del bicho porque en su interior está el fichero test.au3
. Borramos ambas carpetas
Finalmente nos cargaremos el log de nuestro keylogger. Está escondido en una carpeta random dentro de Roaming
, localizarla y eliminarla. Si eres curioso puedes entrar y abrir el TXT para comprobar los datos que te han capturado. Así sabrás si "alguien" tiene tus constraseñas o datos bancarios.
No puedo hacer una vacuna automatizada pues las rutas son random, igual que las carpetas. Osea sí que podría pero tendría que romperme mucho el coco programando la vacuna para que borre lo que toca y nada más. Prefiero que lo verifiquéis a mano y hagáis la limpieza vosotros mismos. Si lo haces bien, al reiniciar el PC, no deberías de ver ni rastro del minero chupando CPU en el administrador de tareas.
Si alguien se atasca en algún paso que me avise, me conecto en remoto en su PC y se lo limpio yo (solo hoy).
Besis de fresi.
#47 El virus te entra al descargar el zip y abrir el fichero. Los ficheros dentro del *.torrent no deberían contener ningún bicho, así que los magnetlinks estarán OK. De todas formas comprueba a ver si tienes algún proceso en tu PC, en tal caso estarías infectado.
#48 Lee el post de arriba, independientemente yo recomendaría un combo de: rkill + adwcleaner+malwarebytes/drweb-cureIt
#50 Lee arriba
edit:
Tras hacer la limpieza mencionada arriba, no queda ni rastro del bicho y la CPU está a valores normales.
#55 Esta variante que se inicia con un dropper en vbe no afectaría a MAC en ningún caso.
Para los que estéis un poco interesados en el tema de análisis... existen servicios automatizados para hacer detonaciones "online". El más famoso es app.any.run
He subido el vbe y ellos lo ejecutan en una VM. Todos los cambios se quedan grabados y puedes leer el report luego, os dejo el ejemplo: https://app.any.run/tasks/5339bb4c-b099-444e-8753-0e36781adb24
Entrad y mirad el detalle que deja la app, es una pasada. Ha hecho en segundos lo mismo que yo (y mejor, más estructurado), puedes ver los procesos generados, las acciones que ejecutan, ficheros creados, etc... Para empezar es una buena herramienta para que tengáis a mano
Lo mejor es el nombre del fichero: "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\Viejo_Calavera_HDrip_Latino.torrent.vbe"
#57 Si tengo este archivo : C:\Windows\System32\WScript.exe" es que estoy infectado?
No tengo ninguno de las fotos que habéis mencionado anteriormente en Appdata/roaming o simplemente en C, pero sí tengo Wscript.exe en system32. Tampoco veo nada en el administrador de tareas.
#58 Nope, ese fichero es parte del runtime scripting-host de windows. Es normal que lo tengas ahí
#59 https://i.imgur.com/oFxdZ1b.png debo suponer que este es el virus y que estoy infectado?