Troyano minador

AikonCWD

#450 y como terminas descargando el torrent?

2 respuestas
E

#451 No lo hago, paso de usar el sitio hasta que lo cambien.

1
Hmngio

#450 yo he descargado el zip, lo he abierto y hay un archivo raro dentro :S asique a ver como cojones se descarga ahora de ahí :S

1 respuesta
E

#453 Creo que solo por descomprimir el ZIP no pasa nada, solo pasa si ejecutas el archivo.
Pero por si acaso, no lo hago.
Prueba grantorrent, y de paso dime si te va, o si mi ISP lo ha bloqueado please.

B

Son los riesgos de querer cosad p2p.

Antes era con softonic y ahora an evolucionado

veryenx

Teniendo alternativas como pctnew, descargas2020 o grantorrent no se como todavía podéis atreveros a bajar algo de mejortorrent.

Aunque esas 3 tampoco están libres de mierda, es casi obligatorio visitar esas webs con ublock, popup blocker (strict) y en mi caso con uMatrix para bloquear toda la basura, pero por lo general funcionan bien.

2 respuestas
B

#456 descargas2020 que duró 20 días y lleva como mes y medio cerrada

2 respuestas
Kr0n0S

#457 https://descargas2020.org/

1 respuesta
veryenx

#457 lleva online desde hace tiempo, cuando cambiaron el dominio a org y hasta ahora nunca estuvo offline, revisa bien la url o mira tus dns.

1 1 respuesta
B

#459 #458 si ponían que se habían trasladado a mr torrent o algo así xD yo ni volví a intentarlo. Si esta online está vaya

1 respuesta
Kr0n0S

#460 sí DonTorrent , pero la url de .org todavía va XD

B

#456 Joder newpct era buen en el 2013, luego la llenaron de pop ups. Pero bueno con el brave va de lujo cualquier página

25 días después
s0ny

Qué demonios. No tengo ni idea de cómo se hace eso de analizar virus, pero me parece muy interesante. #451 mi más sincera admiración.

Ya que estamos aprovecho para preguntar una duda que siempre tuve. Cómo va eso de los zip o rar que infectan? Es porque tienen una segunda extensión oculta y ejecutable, o es un zip normal que al abrirlo te infecta? Y si se descomprime desde el shell de windows son abrirlo el efecto es el mismo?

Hay algún consejo (además de no abrir nada que te dé mala espina), alguna regla de oro, que se deba usar para tratar archivos comprimidos y evitar que te la cuelen con queso?

22 días después
Robotec

Buenas a todos, se que este tema tiene tiempo pero el bicho sigue vivo y lo siguen mejorando , por si a alguien le interesa intente seguir las indicaciones del post 52 y ya no me funcionan del todo, sin embargo Buscando la ruta de regedit llegue a donde se guardaba el scrip, ahora creo que coge rutas aleatorias, en mi caso ahora estaba en :

C:\Users\Usuario principal\AppData\Local\Temp\5a057d5

Y el .au en C:\ProgramData\Intel\Wireless\053e4a6\icaecbg.exe C:\ProgramData\Intel\Wireless\053e4a6\207e355.au3

en cuanto a los servicios en los que se parchea ya no esta systemInfo y vbc, aun no he encontrado donde se mete, solo he podido eliminar conhost.

2 1 respuesta
AikonCWD

#464 gracias por la info. Lo pillaste en mejortorrent tambien?

2 respuestas
Robotec

Así es, la infección sigue siendo por el .vbe, ademas fue muy estúpido xq es lo típico que clicas sin mirar y cuando me di cuenta que no era . torrent ya fue de la he cagado.

1 mes después
T

#465 Hola, ayer tras mucho tiempo intente descargarme una pelicula de mejortorrent y se me bajo un .zip, entonces abri el zip con el winrar y vi dentro un archivo .vbe y lo que hice fue darle click derecho y le di a Ver fichero y sale esto, supongo que sera el Block de notas

Queria saber si esto es peligroso y si podria tener el virus dentro ya que estoy un poco preocupado, lo de Ver fichero tambien se puede hacer con un .exe cualquiera y te muestra el codigo, no se si es peligroso, muchisimas gracias

2 respuestas
T

#465 Un ejemplo de lo que hice

Solo se puede hacer desde el winrar, creo

AikonCWD

#467 Vaya, han cambiado el código xd.

Lo que hace ese script es descargarse ese fichero JPN (que ahora mismo no sé que extensión es), lo guarda en C:\testfolder y lo ejecuta.

Si tengo rato luego lo miro a ver que hay dentro.
Si has hecho eso tal y como dices, es imposible que te hayas infectado con nada.

2 respuestas
T

#469 Muchas gracias, si investigas algo, ¿podrias decirme en que carpeta se meteria ese virus, por favor? Para ver si tengo algo.

Te dejo el virustotal por si te interesa

https://www.virustotal.com/gui/file/749e297032ec24910482acedde6803b64c2841f9f95001e9ea6601c41c930470/detection

Albertsson

Que guapada, como molan estos temas. Siempre me intereso la cyberseguridad.

Protegan sus peses!

Aunque esto siempre es muy jodido, si quieren buscarte o joderte lo pueden hacer. Otra cosa es q seas su objetivo aunque ahora, con todas las herramientas para noobies que existen cualquiera puede joder si le da el venazo.

Grey hat always friends!

L

#469 Hola, hace dos días descargué un capítulo de una serie de mejortorrent y efectivamente lo que se descargó fue ya el famoso virus, yo tan inocente e ignorante lo abrí sin fijarme y claro está tengo el virus instalado. He estado leyéndome el hilo entero y he visto como muy bien explican cómo quitarlo, también he visto que hace poco alguien dice que ya eso no funciona del todo. La verdad es que no tengo ni idea de nada de informática y me da un poco de respeto ponerme a toquetear sin saber, lo que sí he hecho fijándome en todo lo que aquí se ha dicho, es encontrar las carpetas. ¿Podría algún alma caritativa ayudar a esta pobre señorita aunque sea un poquito? Muchísimas gracias!

1 respuesta
AikonCWD

#467 He estado mirando el nuevo bicho.

Al parecer en mejortorrentt.org tienen a alguien que controla algo del tema. Cada vez se lo curran más xD

El source simplemente descargar el fichero: http://www.mejortorrentt.org/img/logo.jpn y lo ejecuta. Pero cuando he ido a descargarlo a mano me da un error:

Lo primero que he pensado ha sido que el virus está mal programado, pero me he fijado que el script establece como user-agent "folder a".
Tras meter la misma modificación, el webserver si valida la petición GET y te descarga código vírico:

https://hastebin.com/icapudifob.pl

Me ha parecido muy ingenioso. Primero ocultan el script tras un fichero que no puede ser descargado de forma directa. El script lo descarga bien y ejecuta un CMD con esos argumentos.

Luego cogen el ejecutable BITSAdmin, básicamente es una tool que permite descargar fichero. Al utilizar esa tool propia de windows (con su certificado y firma) consigue evadir el firewall de windows. En lugar de descargar el troyano él mismo, hace que lo descargue una tool oficial de microsoft.

Sublime.

Descarga los, ya conocidos, 3 ficheros del autoit. El runtime, el script encriptado y un binario PE codificado.
No los he mirado pero fijo que continúan siendo los mismo con el keylogger y el minero de criptomonedas.

Que te follen mejortorrentt, no sé si me lees. Pero si me lees.... que te follen fuerte :)


#472 Si quieres esta tarde miro de hacer una conexión remota y limpiamos ese PC, ahora mismo estoy en el trabajo y no tengo mucho más tiempo

5 4 respuestas
L

#473 No sabes cómo te agradecería eso, porque la verdad que estaba súper preocupada porque nunca había tenido ningún bicho de estos y no sabía qué hacer (como no controlo ni lo más mínimo de informática). Muchísimas gracias de verdad y por todas tus explicaciones!

AikonCWD

El nuevo bicho es exactamente igual que el anterior. Simplemente han modificado el dropper para que, ahora, no sea detectado por los antivirus.
Tras la infección, tendréis una carpeta en c:\afbhg, así que podéis ir a verificar si la tenéis o no. Dentro habrá el autoit y el típico script que ya vimos al comienzo.

3
Cj24

#473 entonces por donde entra el troyano ahora? Por el Zip igualmente? O descargando el .torrent ya estás jodido?

1 respuesta
L

#473 He intentado seguir los pasos que das en el post 52 pero no he encontrado nada, solo tengo las carpetas en appdata y la otra en programdata, pero no sé qué hacer con ello :(

1 respuesta
AikonCWD

#476 entra igual: Al ir a descargar un torrent, en lugar de recibir un .torrent recibes un .zip y dentro hay el .vbe que realiza la infección

#477 Intenta borrar la carpeta con el nombre raro de appdata (mira que sea esa, que tengas los TXT del keylogger dentro y eso) a ver si te deja.

1 respuesta
L

#478 la carpeta que tengo en appdata solo contiene una aplicación que pone autoit v3 script

1 respuesta
AikonCWD

#479 tiene pinta que no se te ha llegado ha instalar el keylogger (o que ya no lo instalan). Borrala

1 respuesta

Usuarios habituales