Troyano minador

smoGG

#20 mejortorrent ya te cuela caquita minera solo navegando sin descargarte nada.

1 respuesta
wolferine

#31 es lo mismo mejortorrent que tumejortorrent? Creo que no eh

1
PaCoX

#28 el fichero ese que has pasado no se parece a nada a un script de autoit, no se si esta compilado o que pero un script no es xd
cuelga el vbs tmb

1 respuesta
AikonCWD

#33 Eso he visto, el tema es que no controlo nada de autoIT.

La único que me queda es detonar el payload del vbs en una VM y capturar los cambios en el sistema a ver "qué hace", pero me da bastante pereza... ahora te cuelgo el vbs. Lo quieres encriptado o mi versión desencriptada y con las variables renombradas? xd

1 respuesta
PaCoX

#34 desencriptado mejor claro xD

1 respuesta
AikonCWD

#35 Lo estoy intentando bajar de nuevo, y ahora me baja todo ficheros *.torrent en lugar del zip infectado xD. Alguien tiene una muestra del zip? aquí en el curro no la tengo :(

1 respuesta
fracarro

#36 Yo cuando este por casa puedo mirar si tengo alguno y te lo mando, pero tienes que ir dandole llegara un punto que te lo bajara en .zip

AikonCWD

Estoy probando de bajar un montón de pelis, y ahora todas me las baja "bien", que asco

2 1 respuesta
eondev

#38 fijate en el dominio xdddd. Hay uno https y otro http. Org me suena

Prozacks

A mi me paso algo igual, y ahora tengo un AutoIt que no tengo ni puta idea de que me esta haciendo. Le rule el adwcleaner y les ha cambiado el nombre pero me siguen aparenciendo en Inicio
http://prntscr.com/kzfs3x

lupin3rd

#19 Tio y porque no en el proximo juguetito que te encuentres, te streameas como programas el antidoto?

2 1 respuesta
AikonCWD

#41 No estaría nada mal hacerlo. Hay algún que otro streamer que hace cosillas así. El tema es que suelo ponerme musica a tope, me toco la nariz, me rasco el culo etc... mientras voy debuggando. Si hago streaming estaría más tiempo vigilando en no hacer esas cosas por cam que arreglando el problema xD.

edit:

1 respuesta
B

#42 Me sumo a los que quieren ver el proceso por partes xD

2
AikonCWD

https://www.virustotal.com/#/file/3a476ae104d3fdfa5bfa9d5a7171c4b79871e0c789862487c39794500ba68325/detection

El script vbe es un dropper (un pequeño programa que solo se encarga de colar un bicho más grande, en este caso un script en autoIt). El autoIt ejecuta un minero en tu PC. El otro fichero binario es un keylogger, captura pulsaciones de teclas y passwords de los formularios web y los envía a un servidor externo.

Deberías poder limpiar todo con: rkill + adwcleaner + malwarebytes/drweb

Esta noche haré detonación en mi VM he intentaré capturar el tráfico del keylogger, a ver si puedo reversar los credenciales y robar los datos.

AikonCWD

Vale, ya estoy en casa.

Estos de mejortorrent son unos hijos de puta. La primera vez que entras en su web y descargas algo, el enlace es un zip con el virus.vbe

Luego si refrescas la web o entras otro día, las siguientes descargas con *.torrent normales. Te meten una cookie para saber si ya te has bajado el virus al menos la primera vez.

Vuelvo a tener una copia para trastear, voy a hacer vm-detonate y a capturar tráfico.

AikonCWD

Bueno, detonación realizada. Ha sido super divertido: (click derecho / ver imagen, para ver las fotos en grande)

Esto es lo que se genera por el dropper en vbe, pasamos a analizar los cambios del sistema con procmon

Podemos ver como al final, el vbe crea y ejecuta el runtime de autoIt:

El autoIt genera y carga los ficheros shell.txt y pe.bin. Uno es un keylogger y el otro un minero. Finalmente busca el fichero vbc.exe para iniciar la injección de código:

Busca algunos antivirus en el sistema para desactivarlos, finalmente carga el minero dentro de systeminfo.exe, se puede ver en la command line:

Luego me ha dado por diseccionar el keylogger, deja las capturas en local y luego las envía por internet, he podido descubrir la ruta, os dejo un ejemplo d elo que hace:

Y para terminar, he puesto a analizar el tráfico y he podido capturar al minero en plena acción, nada relevante:

A ver si saco tiempo y creo una vacuna para desinfectar el sistema. A que es divertido esto de destripar software? A mi me flipa xd


EDIT: Se me olvida. He buscado y encontrado el codigo fuente del minero, es público y conocido: https://github.com/mwsrc/PlasmaRAT/blob/master/Stub/Misc/Miner.vb

87 4 respuestas
Luig1

#46 quien supiera, parece la ostia de interesante, por magnet link también puede pasar???

1 respuesta
Kb

#46 ahora una pregunta, que habria que hacer para hacer una limpieza de pc por si acaso tienes mierdecilla de esta?

Combinacion de antimalware/antivirus y demas que recomiendas?

3 1 respuesta
b3RNi_

Buenas noches!

Aprovecho el post (no se donde ponerlo), alguien que sepa solucionar este problema?

https://imgur.com/a/phXdbez

Me pasa con algunas otras webs, y no tengo ni idea de por que.

Muchas gracias.

1 respuesta
_LuZBeL_

¿lo tengo casi seguro, como lo quito entonces?!

2 respuestas
Vandalus

#50 cuando acabes de minear un millón de euros, se autodestruye.

AikonCWD

Ahora os contesto a los de arriba, sigo destripando el bicho:

Estoy mirando qué métodos de persistencia utiliza. Salvo que me haya dejado algo por alto, el bicho utiliza un doble método para iniciarse tras un reinicio:

  • Shell_Startup method
  • Regedit:Run method

Primero de todo mataremos los procesos activos, desde el administrador de tareas mataremos conhost, systeminfo y vbc. Luego ejecutamos (Win+R) el comando shell:startup, se nos abrirá la carpeta Inicio del Menú Inicio, localizaremos un icono como el de la foto con un nombre extraño. Lo borramos.

Para el método de regedit, ejecutamos regedit.exe y nos vamos a la clave que vemos en la foto. Encontraremos una entrada extraña cuyo valor termina con el famoso test.au3. Eliminamos la entrada y cerramos el regedit.

Ahora borraremos los residuos del bicho: Una carpeta random en C:\programdata y otra carpeta oculta en C:\ con el nombre de nuestro PC. Podrás veríficar que son las carpetas del bicho porque en su interior está el fichero test.au3. Borramos ambas carpetas


Finalmente nos cargaremos el log de nuestro keylogger. Está escondido en una carpeta random dentro de Roaming, localizarla y eliminarla. Si eres curioso puedes entrar y abrir el TXT para comprobar los datos que te han capturado. Así sabrás si "alguien" tiene tus constraseñas o datos bancarios.


No puedo hacer una vacuna automatizada pues las rutas son random, igual que las carpetas. Osea sí que podría pero tendría que romperme mucho el coco programando la vacuna para que borre lo que toca y nada más. Prefiero que lo verifiquéis a mano y hagáis la limpieza vosotros mismos. Si lo haces bien, al reiniciar el PC, no deberías de ver ni rastro del minero chupando CPU en el administrador de tareas.

Si alguien se atasca en algún paso que me avise, me conecto en remoto en su PC y se lo limpio yo (solo hoy).

Besis de fresi. :heart_eyes:

72 11 respuestas
AikonCWD

#47 El virus te entra al descargar el zip y abrir el fichero. Los ficheros dentro del *.torrent no deberían contener ningún bicho, así que los magnetlinks estarán OK. De todas formas comprueba a ver si tienes algún proceso en tu PC, en tal caso estarías infectado.

#48 Lee el post de arriba, independientemente yo recomendaría un combo de: rkill + adwcleaner+malwarebytes/drweb-cureIt

#50 Lee arriba :)

edit:

Tras hacer la limpieza mencionada arriba, no queda ni rastro del bicho y la CPU está a valores normales.

13 1 respuesta
DaRkViRuZ

@aikonCWD de los cojones cada vez que te leo me dan ganas de comerte la polla hasta que me lloren los ojos y me entren arcadas

18
Luig1

#53 en Mac no se si hay más procesos que los que aparecen en “forzar cierre” 😕

1 respuesta
AikonCWD

#55 Esta variante que se inicia con un dropper en vbe no afectaría a MAC en ningún caso.

Para los que estéis un poco interesados en el tema de análisis... existen servicios automatizados para hacer detonaciones "online". El más famoso es app.any.run

He subido el vbe y ellos lo ejecutan en una VM. Todos los cambios se quedan grabados y puedes leer el report luego, os dejo el ejemplo: https://app.any.run/tasks/5339bb4c-b099-444e-8753-0e36781adb24

Entrad y mirad el detalle que deja la app, es una pasada. Ha hecho en segundos lo mismo que yo (y mejor, más estructurado), puedes ver los procesos generados, las acciones que ejecutan, ficheros creados, etc... Para empezar es una buena herramienta para que tengáis a mano

4
Lecherito

Lo mejor es el nombre del fichero: "C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\Viejo_Calavera_HDrip_Latino.torrent.vbe"

1 1 respuesta
Caotico

#57 Si tengo este archivo : C:\Windows\System32\WScript.exe" es que estoy infectado?

No tengo ninguno de las fotos que habéis mencionado anteriormente en Appdata/roaming o simplemente en C, pero sí tengo Wscript.exe en system32. Tampoco veo nada en el administrador de tareas.

1 respuesta
AikonCWD

#58 Nope, ese fichero es parte del runtime scripting-host de windows. Es normal que lo tengas ahí

1 3 respuestas
ESL_Kaiser

#59 https://i.imgur.com/oFxdZ1b.png debo suponer que este es el virus y que estoy infectado?

2 respuestas

Usuarios habituales