Troyano minador

AikonCWD

#60 esa foto es de tu PC? En tal caso sí, completamente xD, mira arriba como quitarlo y si necesitas ayuda me dices

edit: desde el 7/mayo que llevas minando gratis y toda tu info que hayas tecleado la ha capturado el keylogger :S

Lecherito

ayyyy lmao

AikonCWD

Bueno, a modo de info he estado hablando con @ESL_Kaiser y en remoto le he podido ayudar un poco. Tenia el sistema infectado desde hacía meses, con un montón de logs de todos los programas que ha ejecutado, passwords tecleados y toda esa info sensible. Incluso si hubiese buscado en xvideos "hardcore porn shemale ass fuck POV" también saldría en los logs :relieved:

Hemos limpiado todo y ahora parece que todo está bien.

edit: al final el bicho me ha entretenido más de lo que esperaba al inicio.

2
smarquezp

A raiz de su problema, miré antes en la carpeta de Roaming y tenía una carpeta con nombre raro en el que dentro tenía contenido "miner" y tal, he estado mirando los archivos y exactamente era un keylogger, pero no se ni como ni cuando lo borré y estaba ahí el rastro.

Hay que tener un cuidado...

3
WitchKing

Si se formatea el pc, ¿se elimina?

1 respuesta
AikonCWD

#65 claro, pero eso es overkill, es un bicho que se quita fácil a mano.

1 3 respuestas
WitchKing

#66 Lo pregunto porque me parece que hace tiempo tenía algo de eso y hace poco formateé el pc, así que tenía la duda de si podría seguir con vida.
Pregunta de noob: ¿solo afecta al disco principal (en caso de tener más discos)?

1 respuesta
charlesmarri

¿Dónde debería mirar para ver si tengo un bicho de estos? Tengo el McAffe con licencia pagada, que dicen que es el mejor del mercado... pero a saber (nos la regalan por X motivos cada año). Gracias aikon por el currazo!

2 respuestas
Traber

#68 Quien te haya dicho que el McAffee es el mejor antivirus del mercado:
1.- No es tu amigo
2.- Vive en 1999
3.- Podría dejar de respirar y no pasaría nada

En serio, no se que es peor, si el Mcffee o el AVG que es más difícil de desinstalar que un virus.

Consejo: el mejor antivirus es el sentido común. Y luego, el Kaspersky.

5
R

Hola,

Si as realizado los pasos con el MalwareBytes, puedes pasarme el reporte que te a dejado?, esta en el apartado "Informes". A veces, se tiene que configurar bien este programa para que logre detectar. Pasame el reporte fijandote la fecha y hora para analizarlo :).

1 respuesta
Splendid

#46 No he entendido nada pero

3
spaker

#59 No tengo el virus, ni entiendo una puta palabra de lo que haces, pero estoy aqui antes de irme al curro y tio, eres un crack.

Gracias por prestar tu ayuda así.

:clap::clap::clap::clap::clap::clap:

1
NigthWolf

#66 Con mi portatil te tienes que hacer pajas de sangre, 1 año sin antivirus metiendome en paginas chinas, a veces se me pone la CPU al 80% solo con steam abierto y unas 10 pestañas de firefox, y eso que es un i7 7700HQ con 8 gb de RAM xD

Alu

@aikonCWD es el True Savior de MV y ese tendria que ser tu CT. Lo quieres?

Ivlas

#66 Una duda desde la ignorancia, si sabes destriparlo, y puedes sacar que hace, puedes tambien sacar a donde envia datos?
Es decir, el keylogger y demas, sabes a donde esta enviando lo qpilla?

o es otro rollo completamente diferente y estoy hablando ya de asuntos tipo james bond y peliculeo? XD

1 respuesta
RaderBort

Joder tambien estoy infectado... Lo que no entiendo es que a saber de cuando lo tengo pero si roban datos, porque sigo teniendo todos mis ahorros y todas mis cuentas? es decir para que quieren dicha informacion si luego no hacen nada?

2 respuestas
B

Ahora me ha entrado la paranoia. Miraré el pc cuando llegue a casa.

ReEpER

Todo dios, deberia tener un curso en sentido común, + usar keypass o parecidos.

1 1 respuesta
Troyer

#78 para qué si ya tenemos a @AikonCWD , CT de "help desk hacker" ya.

1 respuesta
fracarro

Pero la manera de saber si estas infectado en si tienes el proceso que muestran #60 y en el administrador de tareas o se esconde una vez lo abras?

Con eset la online y malaware deberia quitarse?

2 respuestas
ReEpER

#79 Bueno, porque tener a aikon no te salva, de tener algo no enterarte durante 1 año, y tener toda tu información de parranda por internet durante meses.

#80 la manera mas rapida, es mirar las carpetas que aikon a puesto.

1 respuesta
ESL_Kaiser

#80 yo ni me he enterado siempre tengo el pc haciendo cosas y no me paro a mirar si está chupando de más, además que tampoco sabía cómo mirarlo

B

Y todo esto, al igual que millones de virus, se podrian evitar con la sola configuracion de mostrar la extension de los ficheros. No hay mas.

Bueno, eso y saber que vbe es una extension de script que puede desencadenar el propio infierno en tu pc.

Popino

#76 La información se vende al peso en la mayoría de los casos.

AikonCWD

#67 No puede sobrevivir a un format y solo afectaría al disco principal.
#68 Tienes la guía en la página 2, si encuentras esos ficheros o procesos, estarás infectado.
#70 No he usado el Malwarebyte y no tengo ningún log, sorry
#75 Sí, claro. Normalmente saco esos datos. El "problema" con este bicho es que todo empieza desde un autoIt encriptado que no he sabido reversar. Los procesos encargados de capturar los datos no están en disco (son inyectados directamente en la memoria sobre procesos legítimos). Tendría que dumpear el proceso activo, reparar la tabla IAT y hacer mil guarradas más para sacar esa info. Demasiado trabajo para que finalmente los datos vayan encriptados o algo... otra opción sería dejar el wireshark durante horas y luego escudriñan los miles de paquetes hasta dar con el que envía los datos... Demasiado trabajo para lo que es. Si encuentro otro bicho más simple y directo os lo muestro para que veáis el ejemplo. He llegado a sacar passwords de cuentas de gmail dónde se enviaban los datos, entrar en la bandeja de entrada y ver como 5000 mails con logs de sus victimas. Un horror.

#76 Ni idea la verdad, quizás vendan la info a empresas de estadísticas para sacarse unos €, sin importar el contenido de los logs.
#80 Me da la impresión que el bicho se queda activo en el sistema durante X días y al final se desactiva solito. No estoy seguro de ello. Si lo has tenido deberías encontrar los rastos en las carpetas que dije, sobretodo en %appdata% (roaming) donde estarán los logs del keylogger.

2 2 respuestas
fracarro

#81 No las habia visto, luego probare aver si suena la flauta y no estoy infectado #85

ReEpER

#85 Supongo que has probado a desencriptar con las cosas basicas no? base decode etc...

1 respuesta
AikonCWD

#87 Sip, pero cualquier ayuda es bien recibida. Viendo el source original del troyano, usa RC4 para desencriptar sus cosillas. Si el shell.txt y pe.bin están en RC4 necesitaré sí o sí la key para reversarlo. Dicha key debería estar en el script de autoIt que no controlo y no sé como desencriptar xD.

1 respuesta
ReEpER

#88 Bueno, supongo la la key se autogenerara con la seed de cuando se ejecuta el script, así que poco se puede rascar con una key random pese a no ser una super encriptación.

Supongo que la primera encriptación que abriste era simple base64 text no?

1 respuesta
AikonCWD

#89 Nope, la primera es la propia de vbe, está documentada. Luego obtienes código vbs "normal", salvo que todas las variables están renombradas con nombres raros, luego hay 3 cadenas enormes en base64 que son el exe del autoIt y los 2 ficheros adicionales (miner y keylogger).

1