Piénselo dos veces antes de instalar un bloqueador de anuncios en su dispositivo; no se dará cuenta, ¡pero podría ser un malware!
Desde principios de febrero, se detectaron varias aplicaciones que inyectaban Monero Cryptocurrency Miner en las computadoras de los usuarios. Según el Informe Kaspersky, estos (códigos Cryptominer + Ransomware) se distribuyeron a través de sitios web maliciosos que aparecían aleatoriamente en las fuentes de búsqueda del usuario. El malware híbrido (principalmente disfrazado de instalador de antivirus) se dirigió a más de 2500 usuarios por día, esta vez disfrazado de un bloqueador de publicidad y un servicio OpenDNS.
“Según las estadísticas recientes, el malware híbrido ha infectado a más de 20.000 usuarios desde principios de febrero”.Detalles técnicos
El malware híbrido se distribuye con el nombre AdShield Pro, una versión para Windows del AdShield Mobile Ad Blocker. Una vez que el usuario instala el bloqueador de anuncios, la configuración de DNS se modifica automáticamente en el dispositivo. Por lo tanto, todos los dominios se resuelven por parte del atacante. Esto impide aún más que las víctimas accedan a su programa antivirus actual y el ordenador no obtiene ninguna protección contra posibles troyanos.
Eso no es todo, la situación empeora aún más. ¿Cómo? ¡Sigue leyendo!
¡La historia no termina aquí! El malware además instala una versión legítima de Transmission BitTorrent Client en su computadora para crear una puerta trasera para que los piratas informáticos puedan acceder de forma remota a su PC.
Una vez que los servidores DNS se sustituyen correctamente, el malware comienza a actualizarse ejecutando el archivo ejecutable: update.exe con el argumento self-upgrade (“C:\Program Files (x86)\AdShield\updater. exe” -self-upgrade). El archivo de actualización automática contacta a C&C y envía toda la información esencial relacionada con la máquina infectada, comenzando desde el proceso de instalación. Algunas de las líneas de comando de este archivo ejecutable están completamente cifradas para que el proceso de detección estática se vuelva más difícil.
¡Fragmento de código de Updater.exe que contiene la dirección cifrada!Además, el archivo ejecutable se descarga desde el sitio Transmissionbt[.]org, donde se ejecuta una versión modificada de Transmission Torrent Client. En todo este proceso, el malware envía toda la información esencial relacionada con la máquina infectada a C&C y descarga el módulo de minería desde allí.
¡Informando a C&C sobre la instalación exitosa!No importa cómo este molesto AdBlocker consiga un spa ce en su dispositivo, el extraño código malicioso puede dispersarse por todo el espacio de su disco, bloquear los datos y comenzar a extraer la criptomoneda Monero. Los piratas informáticos ejecutan la tarea – servicecheck_XX en el Programador de tareas de Windows para garantizar operaciones continuas.
LECTURAS IMPORTANTES:
- Qué hacer si su sistema ¿Ya está infectado con ransomware?
- Los 10 mejores bloqueadores de anuncios para Firefox
¿Cómo deshacerse del minero?
Según una reciente publicación en el blog de Kaspersky, el minero se puede eliminar simplemente reinstalando el archivo suplantado con el legítimo de los recursos oficiales. Si encuentra un archivo Flock.exe ejecutándose en su sistema, simplemente finalice el proceso y desinstale bloqueadores de anuncios como AdShield, NetShieldKit, OpenDNS y Transmission torrent. Debería considerar eliminar las siguientes carpetas si las encuentra:
- -C:\ProgramData\Flock
- -%allusersprofile%\start menu\programs\startup\flock
- -%allusersprofile%\start menu\programs\startup\flock2
Finalmente, complete el proceso eliminando la tarea servicecheck_XX del Programador de tareas de Windows.
La solución definitiva para evitar este tipo de infecciones en el futuro
Ejecutar el mejor software antivirus debe ser su máxima prioridad para evitar este tipo de infecciones en primer lugar. Recomendamos ejecutar Systweak Antivirus en su PC con Windows, ya que tiene todo el potencial para detectar y eliminar casi todo tipo de amenazas antes de que puedan instalarse o volverse dañinas para su dispositivo. Systweak Antivirus cuenta con los siguientes aspectos destacados:
- Protección en tiempo real.
- Se ejecuta en segundo plano sin obstaculizar el rendimiento.
- Analiza las acciones de las aplicaciones instaladas, para que se puedan tomar las acciones necesarias a tiempo.
- Mantiene registros de todas las amenazas detectadas.
- Escanea todos los rincones del sistema para brindar la máxima protección.
- Antivirus ligero para Windows. ¡No consume mucho recursos del sistema!
- Múltiples modos de escaneo: escaneo rápido, escaneo profundo, escaneo personalizado para escanear las áreas más vulnerables del sistema de manera rápida y efectiva.
- Promueve la navegación web segura al ofrecer un bloqueador de anuncios dedicado: StopAll Ads para bloquear todos los anuncios y enlaces potencialmente dañinos que podrían rastrear su actividad en línea/fuera de línea. ne actividad.
- Protección contra exploits para localizar y eliminar PUP (programas potencialmente no deseados).
- Comprueba, administra y elimina elementos de inicio que pueden ralentizar el tiempo de inicio.
¿Cómo uso Systweak Antivirus?
Con todo este conjunto interactivo de funciones, Systweak Antivirus está diseñado simplemente para brindarle la mejor protección de la manera más conveniente posible. Para proteger su sistema, siga los pasos a continuación y aprenda a usar Systweak Antivirus.
PASO 1: Instale Systweak Antivirus y la aplicación de seguridad se iniciará automáticamente.
PASO 2: desde el panel principal, haga clic en el icono de la lupa y elija el modo de escaneo deseado. ¡Escaneo rápido, escaneo profundo o escaneo personalizado!
PASO 3: ¡Confirme su proceso de escaneo y deje que PC Security Solution escanee todos los rincones de su sistema y elimine todas las amenazas potenciales de su sistema!
Recibirás la alerta: ¡tu PC está protegida contra amenazas dañinas!
Si quieres bloquear anuncios sin problemas, puedes incluso intentar cambiar a Brave Browser. Si alguna vez instaló o utilizó AdShield Pro, ¡cuéntenos su experiencia en la sección de comentarios a continuación!
Leer: 0
