Detectando un keylogger gracias al RGB de mi NZXT X62

Archivado
Buenas gente,

Simplemente explicar una anécdota curiosa que me ha pasado recientemente. El caso es que hace poco me bajé un torrent de una web de estas que ya conocemos todos y los cabrones, en el primer click habían camuflado un .torrent.zip en la descarga en lugar del torrent original (con el mismo nombre y demás), hasta el punto que se me coló como el torrent y le dí... [facepalm]

El caso es que se me abrí winRAR y me extrañó, ya que normalmente se abre Transmission... así que volví a bajarlo y ahora sí, se abrió transmission como habitualmente.

Total, pasan 4 días y me doy cuenta gracias a los RGB de la refrigeración líquida que la CPU está en carga alta constántemente. Tengo en CAM configurado que si pasa de X grados vaya cambiando de color y normalmente suele estar en azul, pero estaba constántemente en lila... total, que me pica la mosca y abro el admin de tareas...

Nada. Nada sospechoso y de repente la CPU load baja a valores normales... cierro el admin de tareas y otra vez picos de carga de 100% o constantes... y ya me mosqueo del todo.

Abro Configuración -> Aplicaciones -> Inicio, hecho un vistazo a lo que hay y veo un AutoIt v3 que desconozco... busco y voilà. Virus al canto... buscando leo que se usa principalmente para minar cryptos y que por eso sube la CPU al 100% en Idle y que está hecho de manera que se autoreproduzca y que se auto-restaure en caso de borrar uno de los archivos (crea varias carpetas random en varios sitios para tener cópias de si mismo).

Además, leo que normalmente, suele acompañarlo un keylogger y ahí ya me empiezo a mosquear a saco, busco y efectivamente tenía una carpeta random en otro sítio con los .txt de todo lo que había escrito durante esos días (que por suerte fué muy poco, ya que apenas usé el pc y no entré en sítios importantes (banco, etc...)), pero estaba todo, conversaciones de telegram, webs, etc...

Me quedé pálido, procedí con el HiJackThis y borré todos los elementos relacionados con el virus y el keylogger y hice una limpieza a fondo de registro, archivos y red por si las moscas... lo conseguí sacar sin problema, pero ya me habían capturado 4 días de uso... acojonante.

Y eso que soy el típico que suele arreglarle estos problemas a gente ajena, que usa 2FA en todos sitios y 1Password para no repetir passwords (no me los se ni yo xD), pero joder, me la colaron bien colada.

En fin... a partir de ahora he aprendido la lección y acabo de meter una máquina virtual con Ubuntu para hacer estas cosillas, por si las moscas se me escapa otro, que es peligroso de cojones...

Total, que algo tan absurdo como el tema del RGB en los PC's en este caso me ha salvado el culo de algo que podría haber sido extremadamente grave... y si me la colaron a mí, no me quiero imaginar la de gente que puede estar infectada por esta mierda... [facepalm]

Moraleja: No subestiméis el poder del LED [jaja]

PD: Por si alguien quiere saber más info sobre el tema: https://answers.microsoft.com/es-es/pro ... 318?auth=1
(no es mío el post ni el hilo pero me guié ahí para buscar los sitios donde estaba yo infectado)
Vamos, que te la han colado hasta dentro y seguro que ha sido esto:
hilo_winrar-soluciona-un-problema-de-seguridad-que-durante-19-anos-permitio-la-instalacion-de-malware_2324409

Si tienes todavía por ahí el zip o la url en el historial te lo puedes bajar y comprobar que realmente es un .ACE camuflado en .zip con un editor hexadecimal cualquiera.

Ataliano escribió:Y eso que soy el típico que suele arreglarle estos problemas a gente ajena, que usa 2FA en todos sitios y 1Password para no repetir passwords (no me los se ni yo xD), pero joder, me la colaron bien colada.


Eso ya es lo de menos. Le puede pasar al más cauto con bugs de ese tipo, si es realmente lo que te ha pasado.
JohnH escribió:Vamos, que te la han colado hasta dentro y seguro que ha sido esto:
hilo_winrar-soluciona-un-problema-de-seguridad-que-durante-19-anos-permitio-la-instalacion-de-malware_2324409

Si tienes todavía por ahí el zip o la url en el historial te lo puedes bajar y comprobar que realmente es un .ACE camuflado en .zip con un editor hexadecimal cualquiera.

Ataliano escribió:Y eso que soy el típico que suele arreglarle estos problemas a gente ajena, que usa 2FA en todos sitios y 1Password para no repetir passwords (no me los se ni yo xD), pero joder, me la colaron bien colada.


Eso ya es lo de menos. Le puede pasar al más cauto con bugs de ese tipo, si es realmente lo que te ha pasado.


Pues no te se decir exactamente si está relacionado con ese tema o no, lo que sí te puedo decir es que sólo con abrir el archivo (sin extraer el contenido) ya infectaba el PC, porque lo que sí recuerdo es que al ver que se abría WinRAR me quedé pillado y volví a bajar el archivo... pero sólo por el hecho de abrirlo ya pillé.

No tengo el archivo ya que lo eliminé, no recuerdo si dentro había algo o no (imagino que sí), lo que sí te puedo decir es que la infección era un script usando AutoIt y que infectaba tanto la carpeta de inicio como el registro para añadir entradas Run y RunOnce.

Pero vaya, lo dicho, no vuelvo a picar, ya tengo la VM con Linux preparada XD
@Ataliano
Lo que estas describiendo no es un keylogger (un keylogger es un registrador de teclas pulsadas y se usa para robar usuarios, paswords y todo lo que tecles en el teclado)

La funcionalidad de capturar las teclas consume algo tan sumamente ínfimo de recursos que el uso de la CPU no sube ni un miserable 1%

Asi pues lo que tú tienes/tenias no era un keylogger..si no un software de minado de criptomonedas...las cuales usan algoritmos matematicos que hacen que la CPU se ponga seriamente a trabajar.

Saludos
...o tenía ambos.
Perfect Ardamax escribió:@Ataliano
Lo que estas describiendo no es un keylogger (un keylogger es un registrador de teclas pulsadas y se usa para robar usuarios, paswords y todo lo que tecles en el teclado)

La funcionalidad de capturar las teclas consume algo tan sumamente ínfimo de recursos que el uso de la CPU no sube ni un miserable 1%

Asi pues lo que tú tienes/tenias no era un keylogger..si no un software de minado de criptomonedas...las cuales usan algoritmos matematicos que hacen que la CPU se ponga seriamente a trabajar.

Saludos


lee otra vez.
@lwordl
Touché (eso me pasa por leer desde el móvil de forma rápida). De todas formas hace 10 años el Perfect Keylogger y el Ardamax Keylogger (los keylogger más famosos...ahora ya sabes de donde sale mi nick XD ) no consumían casi nada de CPU (salvo que les activaras la función de captura de pantalla cada pocos segundos). Así pues apostaría a que es lo que dice @Ñomo

Saludos
@Perfect Ardamax efectivamente, tenía ambos, por un lado el "minero" y aprovechaban para colarte el keylogger de regalo (estaba de oferta el juanker xD)

La intención el hilo era simplemente compartir lo que me pasó, porque mira tú por donde, gracias a los RGB de la refrigeración líquida pude detectar que algo no iba bien [+risas] (eso sí, porque tenía el minero + el keylogger, si llego a tener sólo lo segundo, me lo como con patatas un buen tiempo).
@Ataliano
Un 2x1 fantástico.... [sonrisa]

De todas formas en estos casos el minero se detecta si o si (porque con programas pesados como los juegos el rendimiento baja lo cual hace que antes o después te des cuenta de que la CPU esta a tope).

El problema como bien dices es que tengas solo el keylogger...aquí si que estas jodido porque este tipo de programas no consume un mierda y salvo que le hagas un análisis al equipo..suelen pasar desapercibidos.

Saludos
El .zip no tendría dentro un archivo de estos de .vba o .vbs, no? (no recuerdo cual era el formato exactamente)

Lo digo porque si es así yo también me lo habré comido y ni cuenta me he dado, y lo peor que ayer hice compras [agggtt]

Fue igual, fui a bajar un Torrent pero era un .torrent.zip, me di cuenta pero iba con la idea de que dentro del zip estuviera el .torrent xD
Te puedes bajar un archivo comprimido, que por abrir para ver lo que tiene no pasa nada. Pasa cuando lo de dentro no es lo que tú esperas y aún así le pulsas dos veces.

Como dato, éstas cosas a mí el Avira me las cortaba de raíz: al descargar el comprimido me lo metía en cuarentena y me saltaba el aviso, aún sin siquiera abrirlo.

Lo digo porque aún coincidiendo en que con el Defender y un antimalware es suficiente, en ocasiones un antivirus gratuito te quita muchos dolores de cabeza.

También mencionar que lo que suelen colar dentro del comprimido (si es la página esa de mejoryonosequé) son scripts mineros bastante pegajosos por lo complicado para eliminarlos. A alguien por aquí ya le pasó, a ver si busco el hilo.

raalso7 escribió:Mencionar a raalso7Citar
El .zip no tendría dentro un archivo de estos de .vba o .vbs, no? (no recuerdo cual era el formato exactamente)


VBE, Visual Basic encriptado. [beer]
Ñomo escribió:Te puedes bajar un archivo comprimido, que por abrir para ver lo que tiene no pasa nada. Pasa cuando lo de dentro no es lo que tú esperas y aún así le pulsas dos veces.

Como dato, éstas cosas a mí el Avira me las cortaba de raíz: al descargar el comprimido me lo metía en cuarentena y me saltaba el aviso, aún sin siquiera abrirlo.

Lo digo porque aún coincidiendo en que con el Defender y un antimalware es suficiente, en ocasiones un antivirus gratuito te quita muchos dolores de cabeza.

También mencionar que lo que suelen colar dentro del comprimido (si es la página esa de mejoryonosequé) son scripts mineros bastante pegajosos por lo complicado para eliminarlos. A alguien por aquí ya le pasó, a ver si busco el hilo.

raalso7 escribió:Mencionar a raalso7Citar
El .zip no tendría dentro un archivo de estos de .vba o .vbs, no? (no recuerdo cual era el formato exactamente)


VBE, Visual Basic encriptado. [beer]


Acabo de hacer pruebas con otro archivo pero de la misma página que el que yo descargué (seguramente la misma que dice Ñomo) en una máquina virtual y vaya chorprecha...

Imagen

Me parece que no es el mismo que el del OP, ya que este a creado la carpeta en C:\ (no sé si hay varias porque el .vbe crea varias o porque como el .vbe no mostraba salida y lo abrí como 20 veces se hicieron mas carpetas [qmparto] )
De todas maneras, en mi PC ya he pasado AdwCleanner, el otro Malwarebytes y el Defender y parece que no hay nada.
@raalso7 tiene pinta eso de ser una versión alternativa del que me entró a mí, porque el comportamiento es muy similar (crea carpetas random, en tu caso en C:/ a mi me las creaba dentro de Program Data y en otros sitios) pero vamos, el contenido era prácticamente el mismo. Además tenía también el .exe y el .au3

De todas formas ya os digo que clicar no cliqué en nada del contenido del zip, fué abrir el zip y fiesta padre... justamente por eso cuando me dí cuenta de que era un zip y que el contenido era diferente fué cuando bajé el .torrent real (volviendo a clicar) y ahí sí que funcionó.

Eso de todas formas era lo relacionado con el script que minaba coins, lo peor era el keylogger que en ese caso estaba si no recuerdo mal en C:\Users\xxx\AppData\Roaming\ (o Local, no recuerdo exactamente), era una carpeta con un nombre largo tipo 30fk3if3f8h909jew8fh8we y dentro estaban todos los txt del keylogger.

De todas formas entre mi caso y el que se muestra en el enlace que pongo en mi primer post de Microsoft hay diferencias (por ejemplo yo no tengo el systeminfo.exe que parece que tenía esa víctima y sin embargo tenía carpetas en otros sitios). Por lo visto hay bastantes variantes del cabronazo este...
@raalso7 a eso se le llama autorreplicarse :O . "Jodó" carpetas...

De todas formas, sería interesante saber, incluso con el propio bloc de notas (si no tienes un editor hexadecimal), ver el contenido de ese zip (las cabeceras) para saber si es un .ace camuflado, que es donde radicaba la vulnerabilidad que citaba yo antes, porque una de las cosas que yo especulaba en la noticia, y que no ponía en el paper, es qué tipo de ejecución lanzaba el malware, si la mera apertura, o la extracción a ciegas (que es lo que sí se mostraba en el PoC (prueba)).

Sólo por confirmar, pero no pido a nadie que lo haga malo sea que alguno sea "tan listo" que salga del sandbox por otra vulnerabilidad.
Es decir, si llegas a tener un FAN normal sin leds ni te das cuenta, no? Yo uso el MSi Afterburner y el SpeedFan que me muestran la temperatura y uso en la barra de inicio. Alguna vez he visto subir la temperatura y uso de la CPU pero era por el maldito test de experiencia de Windows que se pone cada vez que el sistema está inactivo y he actualizado el driver de la gráfica, siempre se me olvida y cuando veo que la temperatura sube pues inmediatamente paso antivirus y de todo y luego me acuerdo que actualice los drivers y se pone esa mierda en marcha...

Por eso deje de descargar piratilla hace años. Cada dos por tres tenia que formatear y lleno de virus, en cuanto deje esas mierdas piratas, torrents y demás se acabo el problema, hace años que paso el antivirus y antimalwares y no sale nada.

El caso es que en mi caso me paso algo similar pero fue porque no tenia de otra. Antes tenia un BQ y para hacer root había tutorial y apps oficiales de BQ, pero eso era la versión 4.2 de android, como le metí 4.4 kitkat pues el root era a cargo de una empresa china. No hace falta decir el desastre que paso. (lo dejo por si alguien interesa ver que paso)

El programa a usar era Chino y la guía decía desconectar de internet para hacerlo para evitar descarga de publicidad, el problema es que sin internet no funcionaba así que lo conecte y no solo fallo el root sino que fue una cagada monumental. En el PC Avast me bloqueo una burrada de instalación de programas intrusivos chinos pero no todos, al final se quedaron unos cuantos allí que me abrían publicidad, minería, toolbars, etc.... El móvil como fallo pues no le paso nada. Tras limpiar todo que me costo bastante, repetí el proceso pero usando un programa para crea una zona falsa, no instalare una maquina virtual. El programa fue de lujo, el programa chino instalo como 40 programas de todo tipo y tras acabar le limpie la zona de seguridad y sin problemas con ese programa. Luego le toco al móvil que se comió también el marrón, está vez si funciono y se instalo un huevo de apps chinas con publicidad y también minería y encima reemplazo algunas apps de android como ajustes, descargas y otras por falsas, desde el smartphone no pude eliminar nada porque aunque era root no pude, porque las apps no tienen acceso directo a la carpeta del sistema y varios antivirus detectaban las apps pero no podían eliminar, después de buscar al final lo conecte al PC con el programa ese y borre manualmente todas las apps chinas que pude, si se jode el smartphone me da igual, hard reset y listo, por suerte lo solucione con eso.


Por seguridad tengo instalado el Avast y con el nivel de detección al máximo, no ralentiza si no lo pongo en marcha o si no descargo nada pero es mínimo el impacto. El caso es que a veces me ha entrado publicidad intrusiva o se ha descargado un archivo sin solicitarlo e inmediatamente Avast ha bloqueado la descarga y publicidad con minería o keyloggers.

Hay que ir con mil ojos al descargar de internet. En muchas ocasiones he descargado quizás un torrent y me sale un EXE o un RAR, en cuanto sale eso ya pongo cancelar descarga y paso inmediatamente el avast y el malwarebytes. Incluso se me han colado en el pasado Ransomwares como el de "la policía local" o el de "antivirus", en el caso del de "antivirus" me toco formatear, el de "la policía local" pude eliminarlo desde el modo seguro con el AdwCleaner en sus primeras versiones.



Es una buena anécdota para que la gente lo tenga en cuenta y no descargue nada de ciertas páginas, sobretodo si hay un keylogger, si ya has borrado todo ya estás mirando que sitios y contraseñas se han visto expuestas para cambiarlas de inmediato.

Solo en una ocasión en la empresa que trabajaba encontraron varios keyloggers físicos. Al parecer un tío se hizo pasar por "técnico" de la empresa en la que trabajaba de mantenimiento e instalo varios keyloggers y como en la empresa (de oficinas) no sabían de ordenadores pensaron que era un adaptador... A saber quien metió esos aparatitos y llevaban meses puestos ya que el mantenimiento lo hacíamos cada 6 meses si no había otros problemas.
Si no estás monitorizando el renimiento del equipo, seguramente no.

El soportar "gadgets" de escritorio, mal que les pese a algunos, era una función bastante útil ya que te permitía poder monitorizar el equipo todo el tiempo sin echar mano al administrador de tareas o tener una aplicación abierta.

Sabiendo los recursos que usa el equipo en reposo, acabas sacando cuándo algo es anormal aún cuando ejecutas algún programa.

Con respecto a lo que puede hacer el VBE, es cuestión de lo que se lleve en ése momento. Lo importante es no ejecuarlo.

@Ataliano Es que es imposible infectarse por ver simplemente el contenido de un archivo comprimido, salvo que el archivo comprimido en sí sea un malware con una extensión falsa. De hecho descargué uno de esos en su día y (sin tener ni idea de VB) abrí el VBE con un editor para ver de qué se trataba (desencriptas y luego editas el VBS); y resultó ser un script de minado, recalco que no me afectó durante el proceso aún sin estar usando un entorno "sandbox". Aquí dejo el enlace del hilo, y ya puestos revisaría el comportamiento del descompresor que usas a la hora de abrir un comprimido, igual el propio programa te ha hecho la fiesta.
@Ñomo por lo que tengo entendido según he investigado más (en princípio mi PC está límpio ya que no detecto ninguna traza más del virus/keylogger, ni conexiones salientes ni nada raro), pero por pura curiosidad seguí investigando a ver si daba con más info.

El caso es que encontré un enlace de un foro dónde se habla de éste virus y un usuario en concreto se dedica a destriparlo e ir conociendo más detalles del mismo (muy interesante), parece ser que hay diferentes variantes y en las últimas versiones lo han ido puliendo para que no se ejecute por ejemplo en máquinas virtuales, de manera que nadie pueda "destriparlo", al menos de manera fácil, como había hecho este user con una versión anterior.

Por lo que leo en dicho hilo además, sólo con abrir el .zip es suficiente como para que el ordenador se infecte, sin necesidad de abrir ninguno de los archivos internos (aún no me queda claro si porque camufla un vbe con una extensión .zip o como... pero algo he leído por ahí), cosa que me encaja, porque se me puede colar bajar un .zip, pero desde luego no clicaría en ninguno de los archivos que contenía (ya que claramente no tenían nada que ver con el torrent que buscaba).

El tema en general es que este virus parece ser que está bastante activo en uno de los sites más famosos de descargas de torrents (yo la verdad que hace bastante que no bajaba nada, pero mira tú por dónde...), el caso es que la web hasta te mete una cookie para saber si te has comido el virus ya o no... [facepalm]

Entre viendo los casos del hilo que he encontrado y demás... no me quiero imaginar la de gente que tiene el percal en su equipo y no se ha dado cuenta...

PD: No pongo el enlace del hilo del otro foro ya que no se si está permitido enlazar otros foros, pero si tenéis curiosidad enviarme un MP y os lo paso.

PD2: @raalso7 ahora que leo de nuevo tu respuesta (sobretodo la primera), ten cuidado en el PC principal ya que este cabronazo está hecho de manera que se salte el adwcleaner y el malwarebytes además de unos cuantos otros antivirus (el usuario del hilo que comento arriba lo menciona y de hecho muestra el código dónde aparecen los bloqueos de dichos programas) y te puedo confirmar que no lo detectan, porque cuando sabía que lo tenía esparcido pasé ambas y no me dieron ninguna alerta (el malwarebytes sólo me detectaba una conexión saliente chunga cada X minutos, pero no detectaba ni el miner ni el keylogger en análisis).

Lo mejor es revisar las carpetas que crea (que ojo, pueden estar en C:\[NombreEquipo]\ o en otros sitios, hay variantes, en mi caso no me los colocaba ahí si no en C:\Usuarios\[NombreUsuario]\AppData\Temp (creo recordar, entre otros directorios). La única manera de cepillarselo entero es manualmente tocando el registro de windows, borrando carpetas y archivos y aniquilando los procesos culpables.
¿La página no será por curiosidad "mejor....."?
La misma.
Edito: Cuando pillas un bicho de esos, es cuando agradeces tener el UPnP desactivado.
Una vez en clase (FP de informatica) el profesor explico que Windows tenia un bug que permitía ocultar virus a través de los atributos de un archivo y que no podías saberlo porque no cambiaba nada la información del archivo original, pasa que no me acuerdo porque hace ya 12 años de esto. No se si eso aun se utiliza, supongo que no.

Supongo es la pagina de torrents... xD, solo se me ocurre esa.

En este caso esa web empezó minando, era entrar y la CPU al 100% de uso. Luego las descargas de torrents en lugar de salir el .torrent te daba un archivo sin extensión o un EXE y lo último que vi ya eran archivos VBE. Y luego encima estaba la publicidad intrusiva que te descargaba instaladores en segundo plano sin tu consentimiento o te bloqueaba el navegador con la web falsa de login del navegador que usas en ese momento y ya podías darle a cancelar o cerrar que inmediatamente se abría de nuevo para hacer login, se puede cerrar pero cuesta (mantener pulsado ESC e intentar darle a la X de la pestaña). En los últimos meses había dos dominios de dicha web y las cerraron la semana pasada, junto a otras 2 más que abrieron bajo otro dominio al día siguiente. Buah... no ha llovido ni nada de esos tiempos, deje esas webs por 2015, total, por lo que cuestan las pelis prefiero comprarlas, están a 6€ y los juegos en InstantG están muy baratos, (nada que ver, pero ayer vi que algunos juegos que tengo en deseados en steam han subido de precio, creo que se preparan para las ofertas de verano para no bajar el precio, tengo un juego en deseados que cuesta 3€ y en oferta se ponía siempre a 50% a 1.5 y ayer me di cuenta que está ahora en 4€ y seguro subirá más).

@Ataliano Hay un canal de youtube que te muestra que hacen diferentes virus en el PC, casi todos son virus antiguos y viejos de la época de MSDoS y Windows 98 pero a veces muestra actuales como el WannaCry. Es interesante y algunos virus si es que se les puede llamar virus son graciosos y divertidos.
EN MI CASO, pues visto el supuesto zip, visto el archivo torrent original de la página de torrents original, siento deciros, que el zip no es el culpable. De hecho, el zip no es más que el .torrent con extensión .zip. Ambos archivos son iguales byte a byte, a excepción del nombre del archivo.

Eso nos deja que la vulnerabilidad está o en el descompresor, al no interpretar correctamente el zip, ya que es un torrent, o en el cliente de torrent o en el navegador.

Puede ser culpa mía porque voy navegando en el filo de la navaja y no activo javascript, ni cookies, ni aunque me paguen (menos en estas páginas), y eso haya podido influir en el archivo que se me sirva desde el servidor, pero, en mi caso, la descarga es totalmente inocua, como digo arriba, 1:1 con el archivo de la página original. No sé, igual es que no he elegido el torrent malicioso adecuado (uno cualquiera de portada).

Y aun con todo, a esa página llegue hace unos meses y me bajé uno y lo ejecuté en mi versión de Utorrent 2.x, y no pasó nada, así que... También es cierto que no lo bajé, porque este PC lo tengo todo sin configurar y me daba palo no dejarlo como en el antiguo, pero el utorrent se lanzó y tampoco pasó nada.

:-?

No pongo en duda nada de lo dicho, porque parecen necesarias ciertas circunstancias, pero en mi caso no ha ocurrido nada. Así que no me lo he leído todo del otro foro, aunque está interesante. Gracias Ataliano :)

EDIT: confirmo, eso sí, que en subsiguientes visitas a la web no se te sirve un .zip, sino un .torrent. Curioso en mi caso, dado que no es por cookies como se dice en el otro foro jeje Es cosa de registros de visitas en el servidor.

Da igual, a mí por lo que sea, no me sirve zips infectados :-?

Recuerdo eso sí que al abrir el zip la otra vez también me dió error y dije, coño, mira qué simpáticos, será por engañar a [lo que sea] porque los .torrent son alegales. No pensé en que fuera un virus. Y podría habérmelo tragado igual que tú. Luego miré lo que era y le cambié la extensión.

A veces somos muy cándidos xD
@JohnH En el hilo que he enlazado antes empiezo igual: "de ésa página no ha salido tal archivo porque he entrado y me he descargado un torrent sin problemas..." eso sí, a la tercera o cuarta vez que probé me tocó premio.

Y lo que hice con el premio fue desencriptarlo y tratar de averiguar lo que era... en fin, la historia ya está ahí; si tras unos meses se han vuelto más agresivos (que por lo visto, ha pasado), sirva ésto como aviso a navegantes para evitar ésa página de ahora en adelante.

En cuando empezaron a minar, debimos haberlos mandado a tomar por***lo; nos hubiésemos ahorrado muchos sinsabores.
JohnH escribió:EN MI CASO, pues visto el supuesto zip, visto el archivo torrent original de la página de torrents original, siento deciros, que el zip no es el culpable. De hecho, el zip no es más que el .torrent con extensión .zip. Ambos archivos son iguales byte a byte, a excepción del nombre del archivo.

Eso nos deja que la vulnerabilidad está o en el descompresor, al no interpretar correctamente el zip, ya que es un torrent, o en el cliente de torrent o en el navegador.

Puede ser culpa mía porque voy navegando en el filo de la navaja y no activo javascript, ni cookies, ni aunque me paguen (menos en estas páginas), y eso haya podido influir en el archivo que se me sirva desde el servidor, pero, en mi caso, la descarga es totalmente inocua, como digo arriba, 1:1 con el archivo de la página original. No sé, igual es que no he elegido el torrent malicioso adecuado (uno cualquiera de portada).

Y aun con todo, a esa página llegue hace unos meses y me bajé uno y lo ejecuté en mi versión de Utorrent 2.x, y no pasó nada, así que... También es cierto que no lo bajé, porque este PC lo tengo todo sin configurar y me daba palo no dejarlo como en el antiguo, pero el utorrent se lanzó y tampoco pasó nada.

:-?

No pongo en duda nada de lo dicho, porque parecen necesarias ciertas circunstancias, pero en mi caso no ha ocurrido nada. Así que no me lo he leído todo del otro foro, aunque está interesante. Gracias Ataliano :)

EDIT: confirmo, eso sí, que en subsiguientes visitas a la web no se te sirve un .zip, sino un .torrent. Curioso en mi caso, dado que no es por cookies como se dice en el otro foro jeje Es cosa de registros de visitas en el servidor.

Da igual, a mí por lo que sea, no me sirve zips infectados :-?

Recuerdo eso sí que al abrir el zip la otra vez también me dió error y dije, coño, mira qué simpáticos, será por engañar a [lo que sea] porque los .torrent son alegales. No pensé en que fuera un virus. Y podría habérmelo tragado igual que tú. Luego miré lo que era y le cambié la extensión.

A veces somos muy cándidos xD

Hace algún tiempo en la cuenta Twitter de la persona que está en el foro de Microsoft ayudando, comentó que el .zip es un script AutoIT compilado.

He estado tratando de encontrar el tweet, pero no lo he encontrado. Lo que sí he encontrado es la info a la que creo recordar que hacía referencia en idioma inglés, y efectivamente esa antigua versión funcionaba así tal como se ha comentado por aquí:
https://r3mrum.wordpress.com/2017/07/10/autoit-malware-from-compiled-binary-to-plain-text-script/

Probablemente el método siga siendo el mismo, pero mejorado.
Ñomo escribió:@JohnH En el hilo que he enlazado antes empiezo igual: "de ésa página no ha salido tal archivo porque he entrado y me he descargado un torrent sin problemas..." eso sí, a la tercera o cuarta vez que probé me tocó premio.

Y lo que hice con el premio fue desencriptarlo y tratar de averiguar lo que era... en fin, la historia ya está ahí; si tras unos meses se han vuelto más agresivos (que por lo visto, ha pasado), sirva ésto como aviso a navegantes para evitar ésa página de ahora en adelante.

En cuando empezaron a minar, debimos haberlos mandado a tomar por***lo; nos hubiésemos ahorrado muchos sinsabores.


Jo, pues si es una lotería, ¡qué palo! Paso de intentarlo una y otra vez para examinarlo yo :/

Como dices, que quede esto como aviso a navegantes, porque otra cosa ya no se puede hacer.
@paper premio... [+risas]

@mmiiqquueell podrías pasar el nombre del canal? me mola ver este tipo de cosas (no tanto que me las coma yo) pero la verdad es que son interesantes los procesos de "disección" XD
A mi también me interesaría, me ha flipado el hilo [+risas]

Gracias por compartirlo!
@Ataliano

Me ha costado un poco encontrarlo ya que no recordaba el nombre pero aquí esta:
https://www.youtube.com/user/danooct1/featured
La verdad es que estoy seguro de que mucha gente (entre los que me incluyo) tenemos mierdas en el PC que nos consumen si no al 100%, una parte de la CPU y no nos damos cuenta.

Que antivirus o programas conoceis que puedan servir para, puntualmente, ejecutarlos y comprobar que estamos libres? No digo dejarlos instalados, pero si ejecutar de vez en cuando
@Xelux Yo los que suelo usar puntualmente son:

- Malwarebytes
- Adwcleaner
- Dr Web Cure It!

No los tengo en background (aunque el malwarebytes se puede dejar en background y tiene protección en tiempo real), pero los ejecuto de vez en cuando para hacer una pasada, por si las moscas.

De todas formas, según el bicho que te comas, por mucho que tengas protección algunos están programados para identificar y matar los procesos de antivirus cuando el bicho se ejecuta, me refiero, es útil si todavía no te has comido el virus, porque lo detectará antes de la detonación, pero una vez detonado/infectado, muchos tienen sus vías de "saltarse" estos análisis.

De hecho el que me comí yo que describo aquí, tenía instrucciones en el código de detectar y matar cualquier proceso de los programas que menciono arriba (y muchos más tipo Avast, Norton, etc...).

Yo por lo general tiro de sentido común, adblocker y Windows defender. Llevo así como 3-4 años y a excepción de este, no me he comido ningún otro (también como decía descargo poco, dió la puñetera casualidad de que un día que voy a descargar algo y zasca!).
@Xelux En este caso yo me incluyo pero hace unos años. Usaba el software de IOBIT, mala idea, no es malo en si pero ha tenido ciertos problemas legales con otras empresas como la de MalwareBytes y aparte su Advanced Care es detectado como malware, a pesar que hace años que me lo quite aun me siguen saliendo de vez en cuando y de forma RANDOM (no se el motivo) entradas de registro y archivos del Care este. Que ademas consumía cerca de un 10% de CPU todo el tiempo por tenerlo en segundo plano.

Actualmente tengo unos cuantos programas de inicio automático y segundo plano, entre ellos (Nvidia, Avast, MSi Afterburner, SpeedFan, Telegram y Steam) creo que no me olvido de ningún otro. Todo lo demás son servicios de Windows o programas como Origin, Malwarebytes y demás que aunque el programa no se inicia el servicio si porque sino luego no arrancan ni iniciando el servicio manualmente, sobretodo esos dos, ya que me han dado problemas, el Malware con reinstalar se soluciona pero el origin no, hay que desinstalar todo y limpiar el registro manualmente. El caso es que el uso de CPU ronda el 0.8% como mucho, siendo Avast el que más tiempo se ejecuta y consume.

Para comprobar seguridad tengo un huevo de cosas, yo con esto soy muy maniático (ojo parrafada larga, pilla palomitas si lo vas a leer xD, es que no tengo nada que hacer en la empresa y como es viernes ya no me espero nada hasta el lunes así que me entretengo perdiendo el tiempo con todo lo que pueda hasta la hora de salir).
Seguridad:
- Avast: Ejecutándose todo el tiempo, análisis rápido (dura casi una hora) por tener alta detección y todos los archivos de sistema una vez cada 2 semanas mas o menos, completo cual dura hasta 6 horas una vez cada dos meses, también todos los archivos y completo en alta detección.

- MalwareBytes: Manual, análisis personalizado a carpeta vacía para que tire el euristico que es donde el 90% de los casos aparece algo, análisis completo cada dos meses.

- AdvCleaner: Una vez cada 6 meses o más.

Mantenimiento:
- Cclearn: Limpieza marcando todas las opciones tanto de temporales como registro y sin dejar ni los de menos de 24 horas ni copias de seguridad, una vez al mes mas o menos.

- Glary Utilites: Limpieza de temporales, historiales (no de navegador sino de lo que se abre y ejecuta en windows que en una semana me salen unos cuantos gigas, no se como), también lo uso para desfragmentar el registro y el disco (es más rápido que el Defraggler, luego explico) una vez por semana (excepto el desfragmentar registro y el desfragmentar disco). Tiene muchísimas opciones para mantenimiento.

- Argente utilities (solo el limpiador de registro): A diferencia de Cclearn y Glary, este programa hace una limpieza profunda del registro eliminando todas las entradas que no llevan a ninguna parte, los otros no borran más que entradas que no llevan a ningún lado y dejan las perdidas sin enlazar que dicen tener un programa que ya no está instalado, Argente es capaz de eliminar esas entradas si el programa ya no existe. Si Cclearn o Glary te saca 10 o 20 registros el Argente te sacara miles, (ojo, no confundir con el argente completo ni el argente 2.0, solo el limpiador de registro). Lo paso una vez cada medio año mas o menos y quita muchas entradas haciendo que el registro pase de unos 200 - 300MB a solo 70 - 150MB, debería formatear porque el registro con poco que hago ya se sube de peso bastante.

- Defraggler: El defraggler tiene que comprueba los archivos tras cambiarlos de sitio para asegurar que se ha copiado bien lo cual hace que pueda llegar a estar días desfragmentando 1 tera de disco, por eso utilizo el Glary que no comprueba nada y es mucho más rápido. En este caso lo paso cada muchos meses para quitar todos esos huecos vacíos que van quedando con el tiempo y así quedar todo más compactado.

- Firefox: No es programa de mantenimiento pero tengo puesto que al cerrar el navegador se borre todo el historial, cache, cookies y todo básicamente. Asi evito que pase como a mi hermano que guarda todo y luego se encuentra más de un millón de temporales de cache y más de 40GB en total, lo que hace que el PC le vaya super lento. No se como puede la verdad.

- MSi Afterburner: Lo uso para controlar las temperaturas y uso de CPU y GPU, tanto en el escritorio (barra de inicio) como en los juegos (Parte superior izquierda). De esta forma tengo controlado todo lo que ocurre como uso de RAM, CPU, GPU y temperaturas. Antes usaba otros programas como HWINFO pero teniendo el MSI que muestra ya todo pues mejor, menos mierda por en medio.

Aparte está el sonido del PC, los fans aceleran o desaceleran y eso se nota mucho ya que los únicos que se oyen son los de la GPU y el de la CPU, cada fan tiene su sonido característico. La fuente tiene un sonido muy grave que casi no se oye, el frontal tiene un sonido también grave pero se oye, el trasero es silencioso así que no emite sonido prácticamente como el de la fuente. El de la CPU emite un sonido muy agudo lo cual en seguida lo oigo cuando estoy en un juego y el uso de CPU es elevado, el de la gráfica suena como un avión (o como un portátil o las consolas) cuando el fan a full solo que más fuerte y no tan agudo y como son dos fans se oye doble el sonido. Si algún sonido del fan varia un poco a lo normal me entero inmediatamente y ya empiezo a buscar el motivo xD.

Si, estoy un poco loco en este sentido del control, pero mira, uso HDD, el tiempo de arranque no supera los 20 segundos (ronda los 15 normalmente) y el inicio de juegos y programas es muy rápido en comparación a lo que seria lo normal.


Antes usaba el Spybot pero es más dar por culo que ayudar a limpiar, se ejecutaba cuando le daba la gana a pesar de tenerlo desactivado todo, quizás estaba jugando y de golpe los frames a la mierda, o trabajando y el programa petaba y era por el spybot de las narices que ademas nunca he encontrado nada, solo cookies o similares que no hacen nada.
Ataliano escribió:@Ñomo por lo que tengo entendido según he investigado más (en princípio mi PC está límpio ya que no detecto ninguna traza más del virus/keylogger, ni conexiones salientes ni nada raro), pero por pura curiosidad seguí investigando a ver si daba con más info.

El caso es que encontré un enlace de un foro dónde se habla de éste virus y un usuario en concreto se dedica a destriparlo e ir conociendo más detalles del mismo (muy interesante), parece ser que hay diferentes variantes y en las últimas versiones lo han ido puliendo para que no se ejecute por ejemplo en máquinas virtuales, de manera que nadie pueda "destriparlo", al menos de manera fácil, como había hecho este user con una versión anterior.

Por lo que leo en dicho hilo además, sólo con abrir el .zip es suficiente como para que el ordenador se infecte, sin necesidad de abrir ninguno de los archivos internos (aún no me queda claro si porque camufla un vbe con una extensión .zip o como... pero algo he leído por ahí), cosa que me encaja, porque se me puede colar bajar un .zip, pero desde luego no clicaría en ninguno de los archivos que contenía (ya que claramente no tenían nada que ver con el torrent que buscaba).

El tema en general es que este virus parece ser que está bastante activo en uno de los sites más famosos de descargas de torrents (yo la verdad que hace bastante que no bajaba nada, pero mira tú por dónde...), el caso es que la web hasta te mete una cookie para saber si te has comido el virus ya o no... [facepalm]

Entre viendo los casos del hilo que he encontrado y demás... no me quiero imaginar la de gente que tiene el percal en su equipo y no se ha dado cuenta...

PD: No pongo el enlace del hilo del otro foro ya que no se si está permitido enlazar otros foros, pero si tenéis curiosidad enviarme un MP y os lo paso.

PD2: @raalso7 ahora que leo de nuevo tu respuesta (sobretodo la primera), ten cuidado en el PC principal ya que este cabronazo está hecho de manera que se salte el adwcleaner y el malwarebytes además de unos cuantos otros antivirus (el usuario del hilo que comento arriba lo menciona y de hecho muestra el código dónde aparecen los bloqueos de dichos programas) y te puedo confirmar que no lo detectan, porque cuando sabía que lo tenía esparcido pasé ambas y no me dieron ninguna alerta (el malwarebytes sólo me detectaba una conexión saliente chunga cada X minutos, pero no detectaba ni el miner ni el keylogger en análisis).

Lo mejor es revisar las carpetas que crea (que ojo, pueden estar en C:\[NombreEquipo]\ o en otros sitios, hay variantes, en mi caso no me los colocaba ahí si no en C:\Usuarios\[NombreUsuario]\AppData\Temp (creo recordar, entre otros directorios). La única manera de cepillarselo entero es manualmente tocando el registro de windows, borrando carpetas y archivos y aniquilando los procesos culpables.


Ya tengo decidido reinstalar Windows cuando tenga tiempo, de momento estoy usando Linux. No he notado nada, he mirado carpetas y no he encontrado nada pero la temperatura del PC es mucho mas alta en Windows que en Linux (en Windows casi siempre 50º, mientras que en Linux suele tener entre 5 y 10º menos, básicamente la temperatura que tenía antes también en Windows) y vaya, detectado de la misma manera casi que lo que dices en el primer post.

No sé si será cosa del virus o que, lo mismo no hay nada xd, pero yo ya estoy con la paranoia encima y cuando pueda voy a formatear todas las particiones que uso con Windows y sacar todo desde Linux vaya que se propague por discos duros y USB como muchos otros (pillo gorro de plata, pero imagino que sabréis que esto es muy usual sobretodo en PCs públicos de Institutos o cualquier otro lugar) para al menos quedarme mas tranquilo.

Gracias de todas maneras por avisarme [oki] y como dices a saber la de gente que se lo ha comido y no tiene ni idea, espero no tener que cuando me llamen para lo típico de mi ordenador va muy lento encontrarme con la mi**da esta [qmparto]



También añadir que en la próxima instalación voy a blindar Windows xD, voy a instalar algunas utilidades que habéis mencionado en el hilo, yo como muchos soy de los que van con Defender y usando el sentido común pero por casos así nunca está de mas usar utilidades como las que comentáis, aunque últimamente he perdido la confianza en los antivirus "normales" como Avast!, ahora siempre aprovechan la mínima para meterte o su navegador que es un Chromium con 4 extensiones o su VPN.

Un saludo a todos!

* sorry por la respuesta a los días, pero no entro mucho al foro *

EDIT: Como curiosidad, la máquina virtual que estaba usando para probar el virus, dejó de arrancar, muy raro, llegaba a la parte de Iniciando Windows y no salían las típicas luces que terminan iluminando el logo de Windows 7. Llegué a intentar a entrar por modo seguro pero en la parte que salen todas las librerías y archivos que se están cargando no salía nada y ahi se quedaba, lo mismo el bicho va mas lejos de lo que pensamos o no sé, lo mismo petó por casualidad [jaja]
@raalso7 Esto es irse un poco del tema, pero si vamos a estar pendientes de que pueda entrar un bicho, mejor quitamos el internet.

Si usamos Windows, entrar siempre va a entrar algo, es cuestión de tiempo; eso sí, hay aplicaciones muy buenas y no siempre de pago para minimizar la probabilidad o el impacto si llega a ocurrir.

Como ya he mencionado, para mí el Avira en lo que se refiere a bloquear malware es el puto amo; ni Avast, ni Kaspersky (y eso que el gratuito va muy bien), ni gaitas. Tuve que desactivarlo para bajarme el ZIP de marras para poder desencriptarlo y ver qué era lo que tenía, porque me bloqueaba la descarga. Lo mismo en torrents y archivos bajados con eMule.

A lo que voy, yo también tuve mi etapa de paranoia, con detectores de rootkits y alteraciones de registro, hasta que me di cuenta de que estaba haciendo el primo por estar más pendiente de las mierdas esas que de disfrutar el rato que estaba delante de la máquina.
Ñomo escribió:@raalso7 Esto es irse un poco del tema, pero si vamos a estar pendientes de que pueda entrar un bicho, mejor quitamos el internet.

Si usamos Windows, entrar siempre va a entrar algo, es cuestión de tiempo; eso sí, hay aplicaciones muy buenas y no siempre de pago para minimizar la probabilidad o el impacto si llega a ocurrir.

Como ya he mencionado, para mí el Avira en lo que se refiere a bloquear malware es el puto amo; ni Avast, ni Kaspersky (y eso que el gratuito va muy bien), ni gaitas. Tuve que desactivarlo para bajarme el ZIP de marras para poder desencriptarlo y ver qué era lo que tenía, porque me bloqueaba la descarga. Lo mismo en torrents y archivos bajados con eMule.

A lo que voy, yo también tuve mi etapa de paranoia, con detectores de rootkits y alteraciones de registro, hasta que me di cuenta de que estaba haciendo el primo por estar más pendiente de las mierdas esas que de disfrutar el rato que estaba delante de la máquina.


Avira es el último antivirus que usé antes de empezar a usar Defender e ya, así que posiblemente lo mire para ponerlo.
Respecto a no estar pendiente de tanta mierda, es lo que debería hacer, pero yo soy el típico que no es capaz de quedarse tranquilo en estos casos, la gente se ríe de mi, pero es un coñazo vivir así [qmparto] [toctoc]

De todas formas, a partir de ahora, lo recomendable es que al descargar un .torrent vayamos con muchísimo cuidado, aunque ya creo que todos sabemos perfectamente la página que distribuye el virus y pues simplemente no descargar de ahí.
Bueno, yo he descargado de ahí y de momento 0 problemas. El problema está en el enlace "falso", tener el winrar y abrir el archivo que te bajas con el winrar (que como tengas activado en el navegador abrir todos los archivos de ese tipo te los comes). Si no cumples esas tres cosas estas a salvo... hasta que se inventen otra. Por cierto, ayer la página estaba caída y solo funcionaban "los fork". Pero bueno, es lo que tiene el usar canales alternativos.
33 respuestas
Archivado
Volver a General