Autor
|
Tema: Ayuda con virus (Leído 4,025 veces)
|
Sam221
Desconectado
Mensajes: 4
|
Hola! Han pasado 10 años desde que conozco el foro, aquí aprendí muchas cosas de seguridad, pero con tiempo te das cuenta que no puedes ser Mr Robot XD. Por arte de magia, apareció un zip llamado "IMG-J2N7G3" (Creo que fue por una extensión de Chrome que habilité, porque no recuerdo haberlo descargado). Tenia un msi file, el cual por curiosidad ejecute (error), ni avast, ni malwarebytes detectaron algo. Como no pasaba nada, lo ejecute varias veces, y en la barra de inicio salio un icono de "Autoit" en estado pausado. Pocos segundos después desapareció. He subido el archivo a virustotal, y me ha arrojado que es ObfDldr.9.Gen ... https://www.virustotal.com/gui/file/483b1428931d13cff852046f5f4dbe4e17d17cf4b4aeb6de5441a6f6a8c0865f/detectionMe preocupa no encontrar nada al respecto. me puse a revisar todos los procesos y archivos y no encuentre nada (Encontre una carpeta llamada "dw" en C: la cual fue creada a la misma hora que ejecute el archivo, y la borre), si bien suelo revisar los procesos de windows, pero no me los sé de memoria ¿que puedo hacer para saber si mi pc fue comprometida? Saludos!
|
|
|
En línea
|
|
|
|
Serapis
|
Si miras con detenimiento, la info que proporciona la página de VT con el enlace que das, en la ficha 'Behaviour' (Comportamiento), lo primero es bloquear la IP: 52.12.179.226 que parece ser donde esté alojado o rebote el comunicador con el troyano. También si despliegas los 'resúmenes' (pulsando en la flechita hacia abajo), podrías ver por ejemplo el chorro de acceso al registro... eso y los módulos cargados, pueden dar una vaga idea de las pretensiones del troyano... un poco más profundo es pulsar en la misma página a la derecha 'full report'... y examinarlo a conciencia.
Yo te sugiero que actualices tu antivirus, y reiniciar el equipo en el modo a prueba de fallos, y pasar ahí el antivirus con todas las opciones desplegadas (análisis total de ficheros en disco y memoria)... cuando termine presta atención a los logs. Un buen lugar sobre desinfección es el foro de infospyware, que está especializado en el tema... -https://forospyware.com/
Los ejecutables o instaladores, hay que pasarlos siempre por la página de VT, antes de ejecutarlos, despés ya es más problemático.
|
|
« Última modificación: 5 Febrero 2020, 15:00 pm por NEBIRE »
|
En línea
|
|
|
|
r32
|
Hola, he visto que recibiste ayuda desde forospyware: https://forospyware.com/t/eliminar-virus/13676Si quieres saber que funciones realiza, sube una muestra del archivo y vemos que hace y las modificaciones realizadas. Puedes subirlo al servidor que más te guste, nosotros nos encargamos de analizar el bicho y te exponemos los resultados. Saludos.
|
|
|
En línea
|
|
|
|
FJDA
Desconectado
Mensajes: 321
|
Por arte de magia, apareció un zip llamado "IMG-J2N7G3" (Creo que fue por una extensión de Chrome que habilité, porque no recuerdo haberlo descargado).
¿Qué extensión de chrome habilitastes? ¿En que directorio apareció? Como se te va a poder ayudar si hablas en términos genéricos; instalé un programa...¿qué programa?... ejecuté un archivo msi ¿qué archivo que nombre?....le di un botón ¿qué botón?. Deberías ser más específico con tu pregunta. Solo has puesto el nombre IMG-J2N7G3 el cual es uno de esos nombres que se generan aleatoriamente IMG- + CÓDIGO ALEATORIO. y lo que dices del icono Autoit, podría ser un script https://www.autoitscript.com/wiki/AutoIt_Introductionhttps://www.autoitscript.com/forum/topic/55588-set-icon/https://losvirus.es/virus-script-autoit-v3/Respecto a VBA.OBFDLDR.9.GEN según esta web https://removevirusinfection.com/tag/how-to-remove-vba-obfdldr-9-genHace lo siguiente: Guía de eliminación de VBA.OBFDLDR.9.GEN: Perfil de la amenaza: VBA.OBFDLDR.9.GEN es una amenaza recientemente descubierta que bombardea a usuarios de todo el mundo. normalmente, actúa como un virus de malware anterior que intenta hacer que el usuario descargue una actualización falsa para su flash. Una vez, después de la descarga, tendrás un montón de virus en tu computadora. por eso se sugiere eliminar VBA.OBFDLDR.9.GEN tan pronto como lo detecte. Nombre de la amenaza: VBA.OBFDLDR.9.GEN Comando o nombre de archivo: VBA.OBFDLDR.9.GEN Tipo de amenaza: Virus OS afectado: Win32 (Windows XP, Vista, Windows 7, Windows 8 (8.1)) Sypmtoms básicos: El sistema se inicia solo en modo seguro y luego se reinicia. Desempaqueta y copia varios archivos de sí mismo ... Ni se te ocurra buscar como eliminar VBA.OBFDLDR.9.GEN en google, que lo único que vas a encontrar son páginas clonadas acojonándonte, diciendote lo peligroso que és, que tu PC va a explotar y que el mundo se va a acabar y una vez te acojonan dicen que instales esto... ni caso. Aquí hay un paso a paso MANUAL, y si, pudiera ser que fuese a través de una extensión de google, aquí te dice como quitarlo. https://www.howtouninstallpcmalware.com/how-to-get-rid-of-vba-obfdldr-9-gen-virus
|
|
« Última modificación: 7 Febrero 2020, 21:51 pm por FJDA »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.397
Turn off the red ligth
|
Hola, he visto que recibiste ayuda desde forospyware: https://forospyware.com/t/eliminar-virus/13676Si quieres saber que funciones realiza, sube una muestra del archivo y vemos que hace y las modificaciones realizadas. Puedes subirlo al servidor que más te guste, nosotros nos encargamos de analizar el bicho y te exponemos los resultados. Saludos. Cifra con una clave random el bin. Se conecta a una ip con varios archivos: Imagen sensitiva: view-source:http://52.12.179.226/ay21.php view-source:http://52.12.179.226/bs0a.php genera una clave random cada vez. Lo mismo: view-source:http://52.12.179.226/m/bs078.ay2 Inicia descarga: http://52.12.179.226/bs0a1.ay2Mirando el hex del archivo descargado sin extensión, tiene una cabecera PK. Le puse extensión .zip y me saca otro archivo que está cifrado? Estuve mirando la cabecera y es similar a la de un executable de windows. No tengo plataforma. Ubuntu Version Apache 2.4.29 Actual 2.4.41 https://nvd.nist.gov/vuln/detail/CVE-2019-0211 http://52.12.179.226/logs/ http://52.12.179.226/m/ http://52.12.179.226/w/ http://52.12.179.226/y/ProFTPD 1.3.5e puerto 21 SSH-2.0-OpenSSH_7.6p1 puerto 22 ec2-52-12-179-226.us-west-2.compute.amazonaws.com
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
FJDA
Desconectado
Mensajes: 321
|
Names IMG-J2N7G3.msi ExifTool File Metadata CodePage Windows Latin 1 (Western European) Comments This installer database contains the logic and data required to install Google Version 43.676A1. CreateDate 2020:02:04 11:44:38 FileType FPX FileTypeExtension fpx MIMEType image/vnd.fpx ModifyDate 2020:02:04 11:44:38 Pages 201 RevisionNumber {4A7985FE-ADE1-4A81-B5F9-61A7D980B0B2} Security Read-only recommended Software Windows Installer XML Toolset (3.11.2.4516) Template Intel;3081 Words 10
Details for 52.12.179.226 IP: 52.12.179.226 Decimal: 873247714 Hostname: ec2-52-12-179-226.us-west-2.compute.amazonaws.com ASN: 16509 ISP: Amazon.com Organization: Amazon.com Services: None detected Type: Corporate Assignment: Likely Static IP Blacklist: Continent: North America Country: United States us flag State/Region: Oregon City: Boardman Latitude: 45.8491 (45° 50′ 56.76″ N) Longitude: -119.7143 (119° 42′ 51.48″ W) Postal Code: 97818 ¿Por qué mi computadora se conecta a amazonaws.com?Ikarus
Trojan-Downloader.VBS.Agent Kaspersky
HEUR:Trojan.Script.Generic
HEUR:Trojan.[Platform].Generic
Los objetos incluidos en esta clasificación borran, bloquean, modifican o copian información y alteran el funcionamiento de los equipos o de las redes informáticas.
El campo [Plataforma] puede ser “Script” o “Win32”.
No siempre los scripts o aplicaciones que los antivirus detectan como Heurísticos son virus, hay muchos falsos positivos. Hay veces que el antivirus ve algo sospechoso y dice Troyano Heurístico. Lo de VBS será por Visual Basic Script
|
|
« Última modificación: 8 Febrero 2020, 02:24 am por FJDA »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.397
Turn off the red ligth
|
Tu viste lo que hay en ese servidor? xDDD
Amazon AWS proporciona servidores que cualquiera puede comprar o utilizar.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
Sam221
Desconectado
Mensajes: 4
|
Hola! Si, pedí ayuda en el foro como me comento el compañero, pero decidí restaurar a fabrica y borrar todos los archivos del disco donde estaba windows, supongo que con eso se borro, aunque tengo otro disco que lo deje intacto... aun sigo con la duda si realmente se elimino. Según entendí es un virus que modifica el registro de Windows, Lamentablemente borre el archivo:( La extensión es la siguiente: https://chrome.google.com/webstore/detail/vimeo-downloader-professi/ocaallccmjamifmbnammngacjphelonnSin embargo el icono de la extensión era así (en su momento pensé que simplemente habían hecho un cambio de su logo. Pero cuando reinstale chrome y sincronice, volvío a su logo original) https://chrome.google.com/webstore/detail/vimeo-video-downloader/cgpbghdbejagejmciefmekcklikpoeel(Lo cual es algo extraño) No sé si la extensión pueda tener permisos para descargar un archivo, o abrir una ventana para que lo descargue, pero soy muuuy cuidadoso con lo que descargo y justamente el archivo apareció el mismo día que habilite la extensión (tenia meses des habilitada aunque estaba instalada). De lo contrario pudo haber sido alguna pestaña de las que se abren cuando deshabilitas el adblocker en un acortador. Apareció en descargas ¿Existe alguna manera de saber con certeza si hay alguna puerta trasera, algún virus, un macro insertado en documentos excel, etc?. No necesariamente un ejecutable .exe A parte de restaurar a fabrica la partición del windows, hice un escaneo completo con kaspersky (La versión "portatil"), avast (también analisis de arranque), malwarebytes y adwcleaner, hasta el windows defender .. no sé que mas puedo hacer xD ... Verifique todos los programas instalados, extensiones, procesos (No me los sé de memoria pero no veo nada raro). No quisiera despertar un día y ver mi cuenta paypal (y otras) con $0 Tiene un limite de lo que puede hacer un virus en formato .msi?. Aunque se haya eliminado, pudo enviar documentos, etc?
|
|
« Última modificación: 14 Febrero 2020, 06:23 am por Sam221 »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.397
Turn off the red ligth
|
Ten 2 cuentas bancarias. Una vacia y otra con tu dinero. La del dinero nunca jamás accedas desde internet. Cuando quieras pagar algo llamas desde el fijo al banco y le dices que quieres hacer una transferencia de X dinero desde la cuenta con dinero a la cuenta vacia. Te hacen la transferencia, pagas y listo. En ningún momento expones la cuenta buena. Mejor usar el fijo que el móvil. El móvil se exponen a ataques de downgrade a 2g y MITM al tráfico móvil, infecciones que puedan grabar tus conversaciones, etc.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
|
|