Entiendo nada o menos, pero mola ver el curro que se pega aikon y todo lo que sabe. Soy un puto fan xd
El troyano minador da para canción
El troyano minador
El troyano minador
Se esconde en las carpetas
mientras se ríe de tu jetaEl troyano minador
El troyano minador
Tus contraseñas se queda
Y tu pierdes monedas
#52 no tengo permiso para abrir la carpeta porque puede ser(en programdata)? y estoy en modo administrador.
#243 entra en las opciones de seguridad de la carpeta habrá una restricción en deny a tu usuario
Veis este torrent, es una peli divertida e intrigante, pero tiene mineros y no lo sabe.
Chavales, usad linux, es la forma mas segura de practicar sexo con el interner.
Hace unas semanas, por error me entró este hijo de puta de troyano, lo noté principalmente por la bajada de rendimiento del PC, me iba super lento, al final dado mi desconocimiento del tema, formateé el ordenador entero, ahora mismo me sale esto en la carpeta, ¿estoy infectado otra vez?, ¿como puedo darme cuenta si alguna vez se mete otro troyano?
Bueno, poco más. Aquí mi resumen, puede estar equivocado pero bueno:
El bicho es una copia del PlasmaRAT, han cogido su código y han creado esto que vemos en mejortorrent y tal. Originalmente es un troyano que se conecta a un C&C a la espera de ordenes. Durante su ejecución empieza a minar criptomonedas y va capturando logs. Los logs no se envían hasta que desde el C&C se manda la acción.
Suposiciones: Los de mejor torrent tenían un JS en su web para minar, la gente lo detectó y se quejaron (a parte es fácil detener los mineros de JS con un addon en chrome/firefox). Imagino pues, que los admins de mejortorrent decidioren inscrustar un minero en sus descargas. De tal modo que cualquier primer usuario que se descargue un torrent, éste será siempre el virus.
Luego la web te mete un cookie para detectar que ya te has bajado el virus... y las siguientes descargas son torrents "normales". Es decir, está programado a propósito por la web de mejortorrent el que quieran meterte un virus en tu primer click.
Imagino que buscarían por internet un minero en VBS y usaron el primero que vieron, sin pararse a mirar si aparte del minero el bicho incluía más cosas (como por ejemplo un keylogger). Me parece una cagada brutal por parte de la web de mejortorrent, deberían recular y quitar esa mierda. Si quieren minar monedas que lo hagan usando otros métodos que no comprometan la seguridad y la privacidad de los usuarios.
Por suerte, creo que ningún log ha viajado a ningún servidor remoto, pero no estaría mal que las víctimas cambiéis cualquier password importante.
Me bajo del tema ya, voy a meter un revert-to-snapshot a mi VM borrando cualquier rastro de este virus/troyano/keylogger y olvidar el tema. Si tenéis dudas concretas seguiré respondiendo gustosamente.
Un saludo!! Y vigilad las mierdas que os bajáis, que he flipado un poco al ver que MUCHOS usuarios de MV y por internet en general se habían comido este virus. A ver si el próximo tema de virus llega a ser igual o más interesante que este.
Besos.
Hace un par de semanas me bajé una peli de mejortorrent lol.
Ahora no sé si puedo o no estar infectado por alguna mierda xD
#250 Lo de siempre. adw cleaner, malwarebytes y defender, a ver si salta algo, para empezar.
#252 tengo el malwarebytes, supongo que por eso me ha protegido de ésto, ya que ni mis tildes van mal, ni tengo las carpetas que decía aikon, ni veo nada donde se me hayan denegado permisos de usuarios, ni noto que mil pc vaya mal.
PEro ahora voy con la mosca detrás de la oreja y me gustaría saber si tengo algo de eso xD
Ostias acabo de leer esto, he seguido los pasos de la pagina 2, y en princpio no tenia nada, aunque tampoco me suena haber descargado de ahi.
Y currazo de Aikon impresionante, gracias.
Como estudiante de Ingenieria Informatica que acaba este año me he quedado anonadado, ojala nos enseñaran mas cosas como esta en la facultad, y no tanto chisme.
Lo que me parece fascinante es que los hackers no hagan sus propias codificaciones y usen programas de terceros. Si fuera yo, me inventaba las codificaciones para volveros locos.
Muchas gracias, como estudiante de redes que no tiene mucho que ver me ha fascinado lo que habéis hecho un placer a ver seguido el hilo enhorabuena!
Que sepais que con este hilo me la habeis puesto dura
@AikonCWD para cuando otro Wargame de los tuyos
#258 Pasa que la gente de a pie ve demasiadas películas donde la seguridad y la informática en general parecen moco de pavo y es una materia que ha crecido de forma explosiva en 50 años. El tema del cifrado se aplica mucho en Informática pero se aborda mucho mas en Matemáticas. No creo que haya mucha gente con los suficientes conocimientos de programación, de matemáticas y de seguridad o hacking como para sacarse del sobaco un cifrado nuevo para sus troyanos.
A parte, que en base es una idea ridícula porque cualquier cifrado ya existente con una clave de 2048 o 4096 bits bien implementado (si no dejas la clave al descubierto) es mas que suficiente para imposibilitar una traza.
#257 Bueno, es que en realidad no queda mucho más por toquetear. Sabemos lo que hace el bicho, dónde se copia, etc... suficiente para poder eliminarlo de nuestros equipos.
#260 Requiere mucho tiempo esto de los wargames xd, ya veré si hago otro o que.
#262 #261 Internet my friend, ahora os pongo unos cursos para quien quiera empezar:
- https://hshrzd.wordpress.com/how-to-start/ (perfecto para empezar)
- https://securedorg.github.io/RE101 (fundamentos iniciales + 1 test para practicar)
- https://securedorg.github.io/RE102 (otro test para empezar, muy bien para practicar)
- https://nostarch.com/malware (El mejor libro de todos, se pueden descargar los ejemplos reales del libro para poner en practica las teorias)
- https://www.pelock.com/articles/reverse-engineering-tools-review (Listado de las mejores tools para analizar malware)
- https://www.malwaretech.com/2017/11/creating-a-simple-free-malware-analysis-environment.html (Como crear una sencilla VM para empezar a toquetear malware)
- https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html (Una VM ya creada MUY BUENA con un montón de tools)
A parte de todo eso, es necesario saber un mínimo de programación, entender como funcionan los procesos, memoria, APIS, etc... Es muy recomendable saber debugar con ollydbg, x64dbg o radare2. También es muy recomendable saber como operar con IDA. Para estas herramientas hay tutoriales específicos.
Gracias por este post tan interesante, a favoritos de cabeza. Justo mañana empiezo las prácticas del modesto ciclo que terminé (smr) y siento envidia sana de lo que sabéis hacer, es un gustazo leeros.
Este bicho lo descargué hace unos días pero me di cuenta de la extensión que tenía y no lo ejecuté. Siendo consciente de lo que hacían estas páginas utilizaba una táctica muy perry: entrar con el móvil, buscar la película deseada hasta dar con el magnet limpio, mandarlo al correo y desde ahí ejecutarlo en el pc principal xD Así, si me metían mierda me daba "igual" porque iba todo al teléfono.
#265 Y el keylogger no puede ejecutarse en el movil? Lo pregunto desde el desconocimiento pero seria un riesgo porq en el movil tambien escribes contraseñas.
#266 Pues no sabría decirte, pero en principio al utilizar otro sistema diferente (android) no debería . Aikon podrá aclarártelo mejor
edit: De todas formas te aconsejo que uses otras webs (rarbg) para torrents, te buscas los subs en español y tirando, o utiliza emule. Yo lo estoy usando desde hace unas semanas y con las conexiones que tenemos ahora va muy bien.