Un malware encontrado en Yahoo hace que los PCs minen Bitcoins

Escrito por Rodrigo Alonso
Internet
0

Una noticia curiosa: investigadores de la firma de seguridadad Light Cyber han revelado un malware encontrado en la publicidad de Yahoo que se instala en el PC de los usuarios y utiliza este  para minar Bitcoins en su propio beneficio (del creador del Malware, se entiende). Todos los usuarios que hayan consultado su email de Yahoo en la última semana están potencialmente infectados. Os contamos todos los detalles que se conocen y cómo saber si estás infectado.

El malware se beneficia de una vulnerabilidad en Java para instalarse en el PC cliente y obligar a éste a realizar cálculos para la red Bitcoin. Este Malware se ha visto en el servidor de publicidad de Yahoo (ads.yahoo.com), y aunque no todos los usuarios que han visto o clicado en la publicidad están infectados, la compañía no ha revelado detalles sobre los ordenadores infectados ni qué deben hacer para evitarlo o solucionar el problema. Según dicen desde Light Cyber, sin embargo, todos los usuarios que hayan consultado su email en Yahoo en los últimos 7 días y que no tengan la versión de Java actualizada, están potencialmente infectados.

Virus PC

A continuación os indicamos cómo saber si estáis infectados y cómo solucionarlo preventivamente. Es una solución un poco arcaica, pero dado que lo único que han hecho es publicar los dominios de contacto del malware, es la única opción que se nos ocurre de momento.

  • Para empezar, actualizad la versión de Java (desde el Panel de Control de Windows y seleccionando Java podéis hacerlo).
  • Comprobar que el ordenador no tiene carga en la tarjeta gráfica cuando no estáis haciendo nada. Podéis verlo con programas como Open Hardware Monitor, que es gratuito.

Ahora os contamos cómo saber a ciencia cierta si estáis infectados.

  • Abrid una consola de comandos (En el teclado pulsad la tecla de windows + R, escribís “CMD” sin comillas y dais a Aceptar).

CMD

  • Escribid el comando netstat -n y pulsad ENTER. Os recomendamos hacer esto sin tener ningún navegador de internet abierto, cliente de bittorrent ni ninguna otra aplicación que haga uso de vuestra conexión a Internet. Esto minimizará el número de resultados y será más sencillo hacer el filtro del siguiente paso. Os saldrá una ventana como la siguiente:

Netstat

  • Comprobar que ninguna de las direcciones que aparece corresponde con la siguiente lista:
    • kmymmeiaoooigke.org
    • bgdjstkwkbhagnp.org
    • ceigqweqwaywiqgu.org
    • smsfuzz.com
    • blistartoncom.org
    • doesexisted.in
    • formsgained.in
    • funnyboobsonline.org
    • goodsdatums.in
    • locationmaking.in
    • mejudge.in
    • operatedalone.in
    • original-filmsonline.com
    • preferringbad.in
    • savedesiring.in
    • slaptoniktons.net
    • slaptonitkons.net
    • stopsadvise.in
    • yagerass.org
    • 192.133.137.100
    • 192.133.137.247
    • 192.133.137.56
    • 192.133.137.59
    • 192.133.137.63
    • 193.169.245.74
    • 193.169.245.76

Hacer esta comprobación anterior, sin embargo, no os asegura de que no estéis infectados, simplemente asegura que el Malware no está en funcionamiento en ese momento. Otra manera de saber si estás infectado es comprobar si existen los siguientes archivos:

  • %windows%\Installer\{4A74FBA7-71A0-BEA1-F538-72E3D519AA4F}\syshost.exe
  • %localappdata%\cygwin1.dll
  • %localappdata%\wuauclt.exe
  • %localappdata%\temp\????????.lnk (8 hex characters)
  • %localappdata%\temp\????????.exe (8 hex characters)
  • %localappdata%\temp\vedefuzunwi.exe
  • %programdata%\bbtmp0\jtkyygiu.exe
  • c:\temp\zcompute.exe

En el caso de que no estés infectado, enhorabuena. Aseguraos sin embargo de que tenéis la última versión de Java y que vuestro antivirus está actualizado. En el caso de que hayáis detectado que estáis infectados, es recomendable iniciar el ordenador en modo a prueba de fallos y pasar tanto vuestro antivirus habitual como la utilidad gratuita llamada MalwareBytes. Esto es recomendación nuestra, no hay una solución oficial por parte de Yahoo.

Por otro lado, hay más maneras de evitar al menos que el Malware funcione: editando el archivo Hosts (solo sistemas Windows). Para ello, haced lo siguiente:

  • Abrid el archivo HOSTS con el Bloc de Notas. Está ubicado en la siguiente ruta dependiendo de vuestro sistema operativo.

Archivo hosts

 

Una vez abierto, tenéis que añadir la lista de direcciones que os hemos mostrado antes para comprobar con el comando netstat -n, y hacer que enruten a 127.0.0.1. Se hace escribiendo primero la dirección, le damos al tabulador, y a continuación 127.0.0.1. Un ejemplo:

Hosts

También podéis probar a eliminar los archivos que os hemos hecho comprobar antes, pero es muy probable que el sistema no os deje porque estarán en uso.

Esperamos que no estéis infectados, y si lo estáis, que este pequeño artículo os ayude a solucionarlo. De momento es lo que podemos hacer hasta que lancen una solución oficial al problema.

Continúa leyendo