elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Ayuda con virus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda con virus  (Leído 4,025 veces)
Sam221

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Ayuda con virus
« en: 5 Febrero 2020, 09:47 am »

Hola! Han pasado 10 años desde que conozco el foro, aquí aprendí muchas cosas de seguridad, pero con tiempo te das cuenta que no puedes ser Mr Robot XD.

Por arte de magia, apareció un zip llamado "IMG-J2N7G3" (Creo que fue por una extensión de Chrome que habilité, porque no recuerdo haberlo descargado). Tenia un msi file, el cual por curiosidad ejecute (error), ni avast, ni malwarebytes detectaron algo. Como no pasaba nada, lo ejecute varias veces, y en la barra de inicio salio un icono de "Autoit" en estado pausado. Pocos segundos después desapareció.

He subido el archivo a virustotal, y me ha arrojado que es ObfDldr.9.Gen ...

https://www.virustotal.com/gui/file/483b1428931d13cff852046f5f4dbe4e17d17cf4b4aeb6de5441a6f6a8c0865f/detection

Me preocupa no encontrar nada al respecto.  me puse a revisar todos los procesos y archivos y no encuentre nada (Encontre una carpeta llamada "dw" en C: la cual fue creada a la misma hora que ejecute el archivo, y la borre), si bien suelo revisar los procesos de windows, pero no me los sé de memoria ¿que puedo hacer para saber si mi pc fue comprometida?

Saludos!


En línea

Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.348


Ver Perfil
Re: Ayuda con virus
« Respuesta #1 en: 5 Febrero 2020, 14:58 pm »

Si miras con detenimiento, la info que proporciona la página de VT con el enlace que das, en la ficha 'Behaviour' (Comportamiento), lo primero es bloquear la IP: 52.12.179.226 que parece ser donde esté alojado o rebote el comunicador con el troyano.
También si despliegas los 'resúmenes' (pulsando en la flechita hacia abajo), podrías ver por ejemplo el chorro de acceso al registro... eso y los módulos cargados, pueden dar una vaga idea de las pretensiones del troyano... un poco más profundo es pulsar en la misma página a la derecha 'full report'... y examinarlo a conciencia.

Yo te sugiero que actualices tu antivirus, y reiniciar el equipo en el modo a prueba de fallos, y pasar ahí el antivirus con todas las opciones desplegadas (análisis total de ficheros en disco y memoria)... cuando termine presta atención a los logs. Un buen lugar sobre desinfección es el foro de infospyware, que está especializado en el tema...
-https://forospyware.com/

Los ejecutables o instaladores, hay que pasarlos siempre por la página de VT, antes de ejecutarlos, despés ya es más problemático.


« Última modificación: 5 Febrero 2020, 15:00 pm por NEBIRE » En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Ayuda con virus
« Respuesta #2 en: 7 Febrero 2020, 19:22 pm »

Hola, he visto que recibiste ayuda desde forospyware:

https://forospyware.com/t/eliminar-virus/13676

Si quieres saber que funciones realiza, sube una muestra del archivo y vemos que hace y las modificaciones realizadas.
Puedes subirlo al servidor que más te guste, nosotros nos encargamos de analizar el bicho y te exponemos los resultados.

Saludos.
En línea

FJDA


Desconectado Desconectado

Mensajes: 321


Ver Perfil
Re: Ayuda con virus
« Respuesta #3 en: 7 Febrero 2020, 21:22 pm »

Por arte de magia, apareció un zip llamado "IMG-J2N7G3" (Creo que fue por una extensión de Chrome que habilité, porque no recuerdo haberlo descargado).
¿Qué extensión de chrome habilitastes?
¿En que directorio apareció?

Como se te va a poder ayudar si hablas en términos genéricos; instalé un programa...¿qué programa?... ejecuté un archivo msi ¿qué archivo que nombre?....le di  un botón ¿qué botón?. Deberías ser más específico con tu pregunta. Solo has puesto el nombre IMG-J2N7G3 el cual es uno de esos nombres que se generan aleatoriamente IMG- +  CÓDIGO ALEATORIO.

y lo que dices del icono Autoit, podría ser un script

https://www.autoitscript.com/wiki/AutoIt_Introduction

https://www.autoitscript.com/forum/topic/55588-set-icon/

https://losvirus.es/virus-script-autoit-v3/




Respecto a VBA.OBFDLDR.9.GEN según esta web
https://removevirusinfection.com/tag/how-to-remove-vba-obfdldr-9-gen

Hace lo siguiente:
Citar
Guía de eliminación de VBA.OBFDLDR.9.GEN: Perfil de la amenaza: VBA.OBFDLDR.9.GEN es una amenaza recientemente descubierta que bombardea a usuarios de todo el mundo. normalmente, actúa como un virus de malware anterior que intenta hacer que el usuario descargue una actualización falsa para su flash. Una vez, después de la descarga, tendrás un montón de virus en tu computadora. por eso se sugiere eliminar VBA.OBFDLDR.9.GEN tan pronto como lo detecte. Nombre de la amenaza: VBA.OBFDLDR.9.GEN Comando o nombre de archivo: VBA.OBFDLDR.9.GEN Tipo de amenaza: Virus OS afectado: Win32 (Windows XP, Vista, Windows 7, Windows 8 (8.1)) Sypmtoms básicos: El sistema se inicia solo en modo seguro y luego se reinicia. Desempaqueta y copia varios archivos de sí mismo ...


Ni se te ocurra buscar como eliminar  VBA.OBFDLDR.9.GEN  en google, que lo único que vas a encontrar son páginas clonadas acojonándonte, diciendote lo peligroso que és, que  tu PC va a explotar y que el mundo se va  a acabar y una vez te acojonan dicen que instales esto... ni caso.

Aquí hay un paso a paso MANUAL, y si, pudiera ser que fuese a través de una extensión de google, aquí te dice como quitarlo.

https://www.howtouninstallpcmalware.com/how-to-get-rid-of-vba-obfdldr-9-gen-virus
« Última modificación: 7 Febrero 2020, 21:51 pm por FJDA » En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Ayuda con virus
« Respuesta #4 en: 8 Febrero 2020, 00:02 am »

Hola, he visto que recibiste ayuda desde forospyware:

https://forospyware.com/t/eliminar-virus/13676

Si quieres saber que funciones realiza, sube una muestra del archivo y vemos que hace y las modificaciones realizadas.
Puedes subirlo al servidor que más te guste, nosotros nos encargamos de analizar el bicho y te exponemos los resultados.

Saludos.
Cifra con una clave random el bin.
Se conecta a una ip con varios archivos:

Imagen sensitiva:
view-source:http://52.12.179.226/ay21.php

view-source:http://52.12.179.226/bs0a.php genera una clave random cada vez.

Lo mismo:
view-source:http://52.12.179.226/m/bs078.ay2

Inicia descarga:
http://52.12.179.226/bs0a1.ay2
Mirando el hex del archivo descargado sin extensión, tiene una cabecera PK. Le puse extensión .zip y me saca otro archivo que está cifrado? Estuve mirando la cabecera y es similar a la de un executable de windows. No tengo plataforma.

Ubuntu
Version Apache 2.4.29
Actual 2.4.41
https://nvd.nist.gov/vuln/detail/CVE-2019-0211

 http://52.12.179.226/logs/
 http://52.12.179.226/m/
 http://52.12.179.226/w/
 http://52.12.179.226/y/

ProFTPD 1.3.5e puerto 21
SSH-2.0-OpenSSH_7.6p1 puerto 22

ec2-52-12-179-226.us-west-2.compute.amazonaws.com
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

FJDA


Desconectado Desconectado

Mensajes: 321


Ver Perfil
Re: Ayuda con virus
« Respuesta #5 en: 8 Febrero 2020, 01:40 am »

Names
IMG-J2N7G3.msi
ExifTool File Metadata
CodePage   Windows Latin 1 (Western European)
Comments   This installer database contains the logic and data required to install Google Version 43.676A1.
CreateDate   2020:02:04 11:44:38
FileType   FPX
FileTypeExtension   fpx
MIMEType   image/vnd.fpx
ModifyDate   2020:02:04 11:44:38
Pages   201
RevisionNumber   {4A7985FE-ADE1-4A81-B5F9-61A7D980B0B2}
Security   Read-only recommended
Software   Windows Installer XML Toolset (3.11.2.4516)
Template   Intel;3081
Words   10


Citar
Details for 52.12.179.226
IP:   52.12.179.226
Decimal:   873247714
Hostname:   ec2-52-12-179-226.us-west-2.compute.amazonaws.com
ASN:   16509
ISP:   Amazon.com
Organization:   Amazon.com
Services:   None detected
Type:   Corporate
Assignment:   Likely Static IP
Blacklist:   
Continent:   North America
Country:   United States us flag
State/Region:   Oregon
City:   Boardman
Latitude:   45.8491  (45° 50′ 56.76″ N)
Longitude:   -119.7143  (119° 42′ 51.48″ W)
Postal Code:   97818


¿Por qué mi computadora se conecta a amazonaws.com?

Citar
Ikarus

Trojan-Downloader.VBS.Agent
Kaspersky

HEUR:Trojan.Script.Generic

HEUR:Trojan.[Platform].Generic

Los objetos incluidos en esta clasificación borran, bloquean, modifican o copian información y alteran el funcionamiento de los equipos o de las redes informáticas.

El campo [Plataforma] puede ser “Script” o “Win32”.

No siempre los scripts o aplicaciones que los antivirus detectan como Heurísticos son virus, hay muchos falsos positivos. Hay veces que el antivirus ve algo sospechoso y dice Troyano Heurístico.

Lo de VBS será por Visual Basic Script
« Última modificación: 8 Febrero 2020, 02:24 am por FJDA » En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Ayuda con virus
« Respuesta #6 en: 8 Febrero 2020, 02:49 am »

Tu viste lo que hay en ese servidor? xDDD

Amazon AWS proporciona servidores que cualquiera puede comprar o utilizar.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

Sam221

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Ayuda con virus
« Respuesta #7 en: 14 Febrero 2020, 06:13 am »

Hola! Si, pedí ayuda en el foro como me comento el compañero, pero decidí restaurar a fabrica y borrar todos los archivos del disco donde estaba windows, supongo que con eso se borro, aunque tengo otro disco que lo deje intacto... aun sigo con la duda si realmente se elimino. Según entendí es un virus que modifica el registro de Windows,

Lamentablemente borre el archivo:( La extensión es la siguiente:

https://chrome.google.com/webstore/detail/vimeo-downloader-professi/ocaallccmjamifmbnammngacjphelonn

Sin embargo el icono de la extensión era así (en su momento pensé que simplemente habían hecho un cambio de su logo. Pero cuando reinstale chrome y sincronice, volvío a su logo original)

https://chrome.google.com/webstore/detail/vimeo-video-downloader/cgpbghdbejagejmciefmekcklikpoeel

(Lo cual es algo extraño)

No sé si la extensión pueda tener permisos para descargar un archivo, o abrir una ventana para que lo descargue, pero soy muuuy cuidadoso con lo que descargo y justamente el archivo apareció el mismo día que habilite la extensión (tenia meses des habilitada aunque estaba instalada). De lo contrario pudo haber sido alguna pestaña de las que se abren cuando deshabilitas el adblocker en un acortador. Apareció en descargas

¿Existe alguna manera de saber con certeza si hay alguna puerta trasera, algún virus, un macro insertado en documentos excel, etc?. No necesariamente un ejecutable .exe

A parte de restaurar a fabrica la partición del windows, hice un escaneo completo con kaspersky (La versión "portatil"), avast (también analisis de arranque), malwarebytes y adwcleaner, hasta el windows defender .. no sé que mas puedo hacer xD ... Verifique todos los programas instalados, extensiones, procesos (No me los sé de memoria pero no veo nada raro).

No quisiera despertar un día y ver mi cuenta paypal (y otras) con $0 :(

Tiene un limite de lo que puede hacer un virus en formato .msi?. Aunque se haya eliminado, pudo enviar documentos, etc?
« Última modificación: 14 Febrero 2020, 06:23 am por Sam221 » En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Ayuda con virus
« Respuesta #8 en: 14 Febrero 2020, 18:41 pm »

Ten 2 cuentas bancarias. Una vacia y otra con tu dinero. La del dinero nunca jamás accedas desde internet.
Cuando quieras pagar algo llamas desde el fijo al banco y le dices que quieres hacer una transferencia de X dinero desde la cuenta con dinero a la cuenta vacia. Te hacen la transferencia, pagas y listo. En ningún momento expones la cuenta buena. Mejor usar el fijo que el móvil. El móvil se exponen a ataques de downgrade a 2g y MITM al tráfico móvil, infecciones que puedan grabar tus conversaciones, etc.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda [Virus] Como elimino el virus que crea accesos directos en Usb
Análisis y Diseño de Malware
.:: KsV ::. 5 4,876 Último mensaje 11 Noviembre 2015, 03:58 am
por s3tH
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines