in

Alerta de Seguridad: Troyano

El 2014 trae al foro de soporte técnico de Blizzard un susto por parte de un nuevo amiguito dispuesto a hacer que nos atragantemos con los polvorones. Jurannok ha sido el encargado de avisar en los foros de Estados Unidos sobre el tema y escribió la siguiente entrada:

Fuente

Hola,

Hemos recibido informes que indican un peligroso troyano que puede ser usado para comprometer las cuentas de los jugadores aunque estén usando un autentificador como protección. El troyano actúa en tiempo real robando tanto la información de la cuenta como la contraseña del autentificador en el momento que los introduces.

Si tu cuenta ha sido comprometida recientemente, te recomendados que busques este troyano. Puede ser identificado creando un archivo MSInfo y después buscando en la sección del Programa de Arranque de dicho archivo por «Disker» o «Disker64». Suele aparecer como sigue a continuación:

  • Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
  • Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

Estamos buscando mas información sobre dicho troyano. No hemos encontrado ningún antivirus que pueda eliminarlo y que además pueda reformar tu sistema. Si recientemente tu cuenta ha sido comprometida y has encontrado este troyano por favor reenviamos la siguiente información:

  • Tu MSInfo
  • Una lista de Accesorios que recientemente hayas instalado y donde lo has encontrado.
  • Una lista de cualquier programa que recientemente hayas instalado y donde lo has conseguido.
  • Los programas de seguridad que has pasado a tu ordenador y sus resultados.

Solo quería dar las gracias a Blizzard y los MVP por trabajar tan rápido para arreglar este problema. Le echaré un vistazo a mi equipo.
¡Un verdadero placer!

Para resumir para todos aquellos que no hayan leido los mensajes verdes:

-El troyano es una versión falsa (pero que funciona) del Cliente de Curse que se puede descargar de una versión falsa de la página web de Curse. Esta página aparecía en las búsquedas como «cliente de curse» en la mayoría de motores de búsqueda, y es así como la gente ha sido infectada.

-En estos momentos parece que el método más sencillo pra eliminar el troyano es borrando el Cliente de Curse falso y pasar un escaneo con Malwarebytes actualizado. Si aún así tenéis problemas, hay un método manual que ha escrito en uno de los comentarios Ressie.

-Gracias a Ressie por su colaboración, la mayor parte de los programas de seguridad deberían de identificar esta amenaza en breve, o incluso ya los deberían estar detectando.

-Si tu cuenta se ha visto comprometida, sigue las instrucciones de aqui e intentaremos hacer todo lo posible para arreglar el problema (como siempre).

-Para aquellos interesados en este tipo de ataques del estilo MitM, es el único caso confirmado que hemos tenido en muchos años a parte del que apareció en el 2012 sobre «Configurar/HIMYM» que afectó a algunas cuentas. Este tipo de ataques son molestos, pero el Autentificador aún te protege el 99% del tiempo. ¡Manteneos a salvo!

Este aviso fue publicado oficialmente el pasado día 2 de enero y se ha ido ampliando informacion acerca del troyano:

  • Sólo afecta a usuarios de Windows.
  • Al comienzo de la alerta no era posible detectar dicha amenaza en el sistema salvo por las indicaciones dadas en la citada entrada, pero actualmente la gran mayoría de antivirus y antimalware puede detectarlo, consulta el siguiente enlace para conocer si el tuyo es uno de ellos.
  • Se CREE que uno se infecta por medio del uso de un cliente CURSE pirata, el original descargado de la web es totalmente seguro.
  • Este se activa en el momento en el que el usuario envía datos al servidor de Blizzard, usuario, contraseña y autentificador (tanto el del movil como en físico). Para aquellos que lanzamos el juego desde el cliente de escritorio, estaríamos a salvo hasta el momento de tener que introducir nuestros datos y el autentificador.

El último post de MVP, Ressie, indica la manera de eliminarlo manualmente y parece ser efectivo para versiones de 32 y 64 bits

Fuente

Cymbol ha sido muy paciente y me ha dejado monitorizar en remoto su sistema para echar un vistazo y buscar como se ha instalado el troyano. Parece que es un cliente Curse pirata, si escribes en Google Curse Client puedes haber pinchado en una publicidad en vez de la página actual del cliente Curse.

Tengo una copia de este, la que tiene Blizzard y su equipo de guardia, y ha sido entregada a Malwarebytes, Avast, MSE, Kaspersky, Mcafee, Avast, SuperAntiSpyware, TrendMicro.

Un montón de antivirus lo están explorando: virustotal.com

¡Y el sistema de Cymbol ha sido limpiado!

Instrucciones para eliminación:

  • Descarga AutoRuns:
    • https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
    • Ejecuta Autoruns.exe
    • Busca Disker & Disker64 en la lista. No selecciones los huecos de la izquierda de cada línea y haz clic con el botón derecho en cada una seleccionando «Delete»/borrar
  • Descarga ProcessExplorer:
    • https://technet.microsoft.com/en-ca/sysinternals/bb896653.aspx
    • Ejecuta procexp.exe
    • Debajo de explorer.exe, deberías de ver rundll32.exe. Puede haber varios, debes encontrar aquel que sobre él salte una ventana que diga «Disker» y/o «Disker64». Clic con el botón derecho sobre el rundll32.exe, y selecciona «Kill Process»/Eliminar proceso, y pincha en OK.
  • Descarga SuperAntiSpyware:
    • https://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE
    • No selecciones las opciones de abajo a la izquierda, y pincha en Express.
    • Después de instalarlo, ciérralo.
    • Ve a la carpeta: c:\usuarios\name\appdata\local\temp\ , aquí «name» es tu nombre de usuario de Windows.
    • Haz clic con el botón derecho en w_win.dll, y selecciona «SUPERDelete File Removal»/SUPERDelete eliminación de archivo. Te aparecerá a continuación una ventana preguntándote si quieres eliminarlo, y debes escribir YES…escribelo.
    • Haz lo mismo para w_64.dll.
    • Reinicia normalmente y debería de haberse ido.
    • Desinstala SuperAntiSpyware, y elimina processexplorer y autoruns.

Hasta aquí lo más importante que se ha publicado por el momento, las últimas entradas del hilo hasta la publicación de este artículo discuten sobre la causa del problema pero ninguna actualización a la solución.

Es seguro que en las próximas horas la solución al dicho troyano se solucione con actualizaciones de antivirus y antimalware. Mientras tanto actualiza tu sistema, pon al día tus defensas, usa programas seguros y descargados de la web oficial, y ante todo ten cuidado donde pinchas en tu navegador.

Saludos y feliz año.

 

 

Written by Narigotas

Deja una respuesta

Servidores de Rol: Entrevista a Elune-Adore

Correcciones en vivo Parche 5.4.2 – 3 Ene ES/EN