Ayuda con virus

Iniciado por Sam221, 5 Febrero 2020, 09:47 AM

0 Miembros y 2 Visitantes están viendo este tema.

Sam221

Hola! Han pasado 10 años desde que conozco el foro, aquí aprendí muchas cosas de seguridad, pero con tiempo te das cuenta que no puedes ser Mr Robot XD.

Por arte de magia, apareció un zip llamado "IMG-J2N7G3" (Creo que fue por una extensión de Chrome que habilité, porque no recuerdo haberlo descargado). Tenia un msi file, el cual por curiosidad ejecute (error), ni avast, ni malwarebytes detectaron algo. Como no pasaba nada, lo ejecute varias veces, y en la barra de inicio salio un icono de "Autoit" en estado pausado. Pocos segundos después desapareció.

He subido el archivo a virustotal, y me ha arrojado que es ObfDldr.9.Gen ...

https://www.virustotal.com/gui/file/483b1428931d13cff852046f5f4dbe4e17d17cf4b4aeb6de5441a6f6a8c0865f/detection

Me preocupa no encontrar nada al respecto.  me puse a revisar todos los procesos y archivos y no encuentre nada (Encontre una carpeta llamada "dw" en C: la cual fue creada a la misma hora que ejecute el archivo, y la borre), si bien suelo revisar los procesos de windows, pero no me los sé de memoria ¿que puedo hacer para saber si mi pc fue comprometida?

Saludos!

Serapis

#1
Si miras con detenimiento, la info que proporciona la página de VT con el enlace que das, en la ficha 'Behaviour' (Comportamiento), lo primero es bloquear la IP: 52.12.179.226 que parece ser donde esté alojado o rebote el comunicador con el troyano.
También si despliegas los 'resúmenes' (pulsando en la flechita hacia abajo), podrías ver por ejemplo el chorro de acceso al registro... eso y los módulos cargados, pueden dar una vaga idea de las pretensiones del troyano... un poco más profundo es pulsar en la misma página a la derecha 'full report'... y examinarlo a conciencia.

Yo te sugiero que actualices tu antivirus, y reiniciar el equipo en el modo a prueba de fallos, y pasar ahí el antivirus con todas las opciones desplegadas (análisis total de ficheros en disco y memoria)... cuando termine presta atención a los logs. Un buen lugar sobre desinfección es el foro de infospyware, que está especializado en el tema...
-https://forospyware.com/

Los ejecutables o instaladores, hay que pasarlos siempre por la página de VT, antes de ejecutarlos, despés ya es más problemático.

r32

Hola, he visto que recibiste ayuda desde forospyware:

https://forospyware.com/t/eliminar-virus/13676

Si quieres saber que funciones realiza, sube una muestra del archivo y vemos que hace y las modificaciones realizadas.
Puedes subirlo al servidor que más te guste, nosotros nos encargamos de analizar el bicho y te exponemos los resultados.

Saludos.

FJDA

#3
Cita de: Sam221 en  5 Febrero 2020, 09:47 AM
Por arte de magia, apareció un zip llamado "IMG-J2N7G3" (Creo que fue por una extensión de Chrome que habilité, porque no recuerdo haberlo descargado).
¿Qué extensión de chrome habilitastes?
¿En que directorio apareció?

Como se te va a poder ayudar si hablas en términos genéricos; instalé un programa...¿qué programa?... ejecuté un archivo msi ¿qué archivo que nombre?....le di  un botón ¿qué botón?. Deberías ser más específico con tu pregunta. Solo has puesto el nombre IMG-J2N7G3 el cual es uno de esos nombres que se generan aleatoriamente IMG- +  CÓDIGO ALEATORIO.

y lo que dices del icono Autoit, podría ser un script

https://www.autoitscript.com/wiki/AutoIt_Introduction

https://www.autoitscript.com/forum/topic/55588-set-icon/

https://losvirus.es/virus-script-autoit-v3/




Respecto a VBA.OBFDLDR.9.GEN según esta web
https://removevirusinfection.com/tag/how-to-remove-vba-obfdldr-9-gen

Hace lo siguiente:
CitarGuía de eliminación de VBA.OBFDLDR.9.GEN: Perfil de la amenaza: VBA.OBFDLDR.9.GEN es una amenaza recientemente descubierta que bombardea a usuarios de todo el mundo. normalmente, actúa como un virus de malware anterior que intenta hacer que el usuario descargue una actualización falsa para su flash. Una vez, después de la descarga, tendrás un montón de virus en tu computadora. por eso se sugiere eliminar VBA.OBFDLDR.9.GEN tan pronto como lo detecte. Nombre de la amenaza: VBA.OBFDLDR.9.GEN Comando o nombre de archivo: VBA.OBFDLDR.9.GEN Tipo de amenaza: Virus OS afectado: Win32 (Windows XP, Vista, Windows 7, Windows 8 (8.1)) Sypmtoms básicos: El sistema se inicia solo en modo seguro y luego se reinicia. Desempaqueta y copia varios archivos de sí mismo ...


Ni se te ocurra buscar como eliminar  VBA.OBFDLDR.9.GEN  en google, que lo único que vas a encontrar son páginas clonadas acojonándonte, diciendote lo peligroso que és, que  tu PC va a explotar y que el mundo se va  a acabar y una vez te acojonan dicen que instales esto... ni caso.

Aquí hay un paso a paso MANUAL, y si, pudiera ser que fuese a través de una extensión de google, aquí te dice como quitarlo.

https://www.howtouninstallpcmalware.com/how-to-get-rid-of-vba-obfdldr-9-gen-virus

@XSStringManolo

Cita de: r32 en  7 Febrero 2020, 19:22 PM
Hola, he visto que recibiste ayuda desde forospyware:

https://forospyware.com/t/eliminar-virus/13676

Si quieres saber que funciones realiza, sube una muestra del archivo y vemos que hace y las modificaciones realizadas.
Puedes subirlo al servidor que más te guste, nosotros nos encargamos de analizar el bicho y te exponemos los resultados.

Saludos.
Cifra con una clave random el bin.
Se conecta a una ip con varios archivos:

Imagen sensitiva:
view-source:http://52.12.179.226/ay21.php

view-source:http://52.12.179.226/bs0a.php genera una clave random cada vez.

Lo mismo:
view-source:http://52.12.179.226/m/bs078.ay2

Inicia descarga:
http://52.12.179.226/bs0a1.ay2
Mirando el hex del archivo descargado sin extensión, tiene una cabecera PK. Le puse extensión .zip y me saca otro archivo que está cifrado? Estuve mirando la cabecera y es similar a la de un executable de windows. No tengo plataforma.

Ubuntu
Version Apache 2.4.29
Actual 2.4.41
https://nvd.nist.gov/vuln/detail/CVE-2019-0211

http://52.12.179.226/logs/
http://52.12.179.226/m/
http://52.12.179.226/w/
http://52.12.179.226/y/

ProFTPD 1.3.5e puerto 21
SSH-2.0-OpenSSH_7.6p1 puerto 22

ec2-52-12-179-226.us-west-2.compute.amazonaws.com

FJDA

#5
Cita de: https://www.virustotal.com/gui/file/483b1428931d13cff852046f5f4dbe4e17d17cf4b4aeb6de5441a6f6a8c0865f/details
Names
IMG-J2N7G3.msi
ExifTool File Metadata
CodePage   Windows Latin 1 (Western European)
Comments   This installer database contains the logic and data required to install Google Version 43.676A1.
CreateDate   2020:02:04 11:44:38
FileType   FPX
FileTypeExtension   fpx
MIMEType   image/vnd.fpx
ModifyDate   2020:02:04 11:44:38
Pages   201
RevisionNumber   {4A7985FE-ADE1-4A81-B5F9-61A7D980B0B2}
Security   Read-only recommended
Software   Windows Installer XML Toolset (3.11.2.4516)
Template   Intel;3081
Words   10


CitarDetails for 52.12.179.226
IP:   52.12.179.226
Decimal:   873247714
Hostname:   ec2-52-12-179-226.us-west-2.compute.amazonaws.com
ASN:   16509
ISP:   Amazon.com
Organization:   Amazon.com
Services:   None detected
Type:   Corporate
Assignment:   Likely Static IP
Blacklist:   
Continent:   North America
Country:   United States us flag
State/Region:   Oregon
City:   Boardman
Latitude:   45.8491  (45° 50′ 56.76″ N)
Longitude:   -119.7143  (119° 42′ 51.48″ W)
Postal Code:   97818


¿Por qué mi computadora se conecta a amazonaws.com?

Citar
Ikarus

Trojan-Downloader.VBS.Agent
Kaspersky

HEUR:Trojan.Script.Generic

Cita de: https://encyclopedia.kaspersky.es/knowledge/heuristic-and-proactive-detections/
HEUR:Trojan.[Platform].Generic

Los objetos incluidos en esta clasificación borran, bloquean, modifican o copian información y alteran el funcionamiento de los equipos o de las redes informáticas.

El campo [Plataforma] puede ser "Script" o "Win32".

No siempre los scripts o aplicaciones que los antivirus detectan como Heurísticos son virus, hay muchos falsos positivos. Hay veces que el antivirus ve algo sospechoso y dice Troyano Heurístico.

Lo de VBS será por Visual Basic Script

@XSStringManolo

Tu viste lo que hay en ese servidor? xDDD

Amazon AWS proporciona servidores que cualquiera puede comprar o utilizar.

Sam221

#7
Hola! Si, pedí ayuda en el foro como me comento el compañero, pero decidí restaurar a fabrica y borrar todos los archivos del disco donde estaba windows, supongo que con eso se borro, aunque tengo otro disco que lo deje intacto... aun sigo con la duda si realmente se elimino. Según entendí es un virus que modifica el registro de Windows,

Lamentablemente borre el archivo:( La extensión es la siguiente:

https://chrome.google.com/webstore/detail/vimeo-downloader-professi/ocaallccmjamifmbnammngacjphelonn

Sin embargo el icono de la extensión era así (en su momento pensé que simplemente habían hecho un cambio de su logo. Pero cuando reinstale chrome y sincronice, volvío a su logo original)

https://chrome.google.com/webstore/detail/vimeo-video-downloader/cgpbghdbejagejmciefmekcklikpoeel

(Lo cual es algo extraño)

No sé si la extensión pueda tener permisos para descargar un archivo, o abrir una ventana para que lo descargue, pero soy muuuy cuidadoso con lo que descargo y justamente el archivo apareció el mismo día que habilite la extensión (tenia meses des habilitada aunque estaba instalada). De lo contrario pudo haber sido alguna pestaña de las que se abren cuando deshabilitas el adblocker en un acortador. Apareció en descargas

¿Existe alguna manera de saber con certeza si hay alguna puerta trasera, algún virus, un macro insertado en documentos excel, etc?. No necesariamente un ejecutable .exe

A parte de restaurar a fabrica la partición del windows, hice un escaneo completo con kaspersky (La versión "portatil"), avast (también analisis de arranque), malwarebytes y adwcleaner, hasta el windows defender .. no sé que mas puedo hacer xD ... Verifique todos los programas instalados, extensiones, procesos (No me los sé de memoria pero no veo nada raro).

No quisiera despertar un día y ver mi cuenta paypal (y otras) con $0 :(

Tiene un limite de lo que puede hacer un virus en formato .msi?. Aunque se haya eliminado, pudo enviar documentos, etc?

@XSStringManolo

Ten 2 cuentas bancarias. Una vacia y otra con tu dinero. La del dinero nunca jamás accedas desde internet.
Cuando quieras pagar algo llamas desde el fijo al banco y le dices que quieres hacer una transferencia de X dinero desde la cuenta con dinero a la cuenta vacia. Te hacen la transferencia, pagas y listo. En ningún momento expones la cuenta buena. Mejor usar el fijo que el móvil. El móvil se exponen a ataques de downgrade a 2g y MITM al tráfico móvil, infecciones que puedan grabar tus conversaciones, etc.