¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

De primera mano

Из первых рук

Otras ediciones de este tema (3)
  • añadir a favoritos
    Añadir a marcadores

Más datos sobre mining

Consultas: 1342 Comentarios: 2 Ranking: 8

jueves, 12 de abril de 2018

Si su equipo funciona lentamente, es muy probable que un miner funcione en el mismo. Vamos a ver un caso de un fallo particular:

Tenemos un portátil con Ubuntu, quejas de que el mismo funciona lentamente, y nada más.

Intentamos supervisar los recursos (CPU, RAM, etc), pero en vano, no se detectó nada. Fueron comprobados varios navegadores, se buscaron programas sospechosos, extensiones, fue limpiada la caché del navegador … Todo funciona bien.

https://habrahabr.ru/company/neobit/blog/350046

Si seguimos contemplando la posibilidad de mining, solo podemos suponer que el miner desapareció al haber funcionado un rato. Pero es muy poco probable.

Luego el usuario se queja de lo mismo. Lo más interesante es que en cuanto empecé a analizar el portátil, todos los “síntomas” de su mal funcionamiento desaparecieron, y no hubo ninguna explicación, y el dueño del portátil se sorprendió.

En esta frase se omite un detalle clave: al usar el portátil, su dueño se conectaba a Internet de otro sitio y no de donde lo analizaron los expertos.

En algún momento tuve la necesidad de conectarme a Internet desde mi portátil, usando la misma red Wi-Fi donde se usaba el equipo que funcionaba lentamente. ¡Y enseguida entendí que el navegador Safari en mi portátil personal empezó a “devorar” los recursos del CPU!

Pero ¿qué conexión hay entre el punto de acceso y la velocidad de funcionamiento de programas? ¿Un navegador que funciona mal o un servicio que se inicia automáticamente?

#drweb

En el screenshot se ve que algún sitio web activa muchas veces un script con un nombre raro y hay varios scripts terceros de dos extensiones del navegador.

¡Atención! Los programas nocivos modernos suelen comunicarse con los centros de comando de los malintencionados. Es muy probable que en el servicio de soporte técnico donde Vd. presente su equipo, funcione un sistema de protección seguro y el troyano simplemente no podrá conectarse a Internet. Y se ocultará. Si Vd. sospecha que en su equipo hay un troyano, enseguida recopile toda la información necesaria para el análisis.

Para realizarlo, haga clic con el ratón sobre el icono en la bandeja del sistema, seleccione Herramientas y en la ventana que aparece Herramientas seleccione Soporte → Informe para el soporte técnico.

#drweb

En la ventana que aparece, haga clic sobre Crear informe.

Vamos a volver al análisis. En el texto no se menciona qué en concreto funcionaba lentamente: todos los sitios web, un recurso en concreto u otra cosa. El artículo que comentamos permite ver cuánto tiempo se gasta en caso de no recopilar enseguida toda la información necesaria para el análisis e intentar resolver el problema sin datos necesarios en vez de esto. Es una situación típica, el personal del soporte técnico muchas veces gasta tiempo en intentar recibir alguna información de sus víctimas.

Han sido desconectadas y luego borradas todas las extensiones del navegador, pero el problema persistía. En cualquier caso, hubo un script en el sitio web. La investigación posterior del depurador permitió saber que era un miner de la criptomoneda Monero con algoritmo CryptoNight. Al parecer, seguramente había un miner en el sitio web.

Ya estábamos casi dispuestos a enviar un mensaje con quejas a los dueños del sitio web, pero en cualquier caso decidimos volver a comprobarlo todo.

Luego notamos que el mismo script aparece en otros sitios web también. Se usaron otros navegadores sin extensiones y plugins. El resultado es el mismo — en algunos sitios web aparece el mismo script con un miner incrustado.

Como gastamos mucho tiempo en buscar algo y había que resolver el problema enseguida, decidimos reinstalar el sistema.

¿Por qué reinstalar, si hay un miner en el sitio web que desaparece al cerrar la página? El resultado era de esperar:

La reinstalación de MacOS no ayudó.

No vamos a describir todo lo posterior. El resultado ya quedará claro a nuestros lectores.

El router tiene instalado el software nocivo que realiza HTTP+TCP MITM e inserta el código nocivo del miner en cada página del sitio web que no usa HTTPS. De allí el comportamiento – si está abierta una pestaña con un sitio HTTP, quiere decir que su procesador ya está haciendo mining de Monero para los creadores de virus.

El problema fue resuelto al cambiar el firmware del router.

Por lo tanto, resultó que el router estaba infectado. El software nocivo interceptaba el tráfico e implementaba un script de mining en el sitio web.

Pero ¿cómo fue infectado el router? Hay tres opciones: contraseñas, vulnerabilidades y configuración errónea (así mismo, los servicios disponibles desde fuera).

Vamos a ver un ejemplo de infección del servicio vulnerable. No del router, se trata otra vez de criptomoneda.

Los malintencionados escanean Internet para buscar los equipos que usan rTorrent y las aplicaciones basadas en el mismo, y luego usan la vulnerabilidad para instalar el software que hace el mining de Monero.

https://geektimes.ru/post/298701

El usuario instala un miner legal y empieza a contar el dinero que recibirá. Pero hay que proteger este dinero también. Hemos informado muchas veces sobre la protección extra de los equipos de contables, y en caso de mining la misma no debe ser menos importante. Como resultado, un malintencionado, por falta de actualizaciones del software, implementa su código y roba su dinero.

Cabe destacar que el desarrollador de rTorrent no recomienda a sus usuarios usar la funcionalidad RPC del cliente para los puertos TCP. Como se entiende, la interfaz de XML-RPC no está activada de forma predeterminada, por lo tanto, los usuarios lo hacen sin ayuda, lo cual les parece bastante cómodo.

Es decir, son los usuarios que “abren la puerta” a los malintencionados.

Un fragmento interesante:

Un programa nocivo que se carga a través de rTorrent, no solamente carga el miner (este software que parece legal consume los recursos del equipo del usuario). Además, escanea el sistema en busca de “competidores”. En caso de encontrar los mismos, la aplicación intenta eliminarlos, para que este programa pueda usar todos los recursos.

¿Vd. piensa que estos competidores son miners? Vamos a vero:

Actualmente el software detecta solo 3 antivirus de los 59 más populares. Es muy probable que en el futuro su número crezca.

#configuración_Dr.Web #mining #software_nocivo

El mundo de antivirus recomienda

Instale las actualizaciones. Y en caso de usar su equipo para acceder a su dinero u otros activos (de cualquier tipo), actualice todo constantemente. Use las contraseñas seguras. Y, si su router forma parte de los routers soportados, escanéelo con el escáner Dr.Web.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios