Buenas! Les cuento lo que me paso la semana pasada con este virus.
Un día.. y por alguna razón, en Chrome me empezaron a aparecer publicidades... cada vez que hacía click en algún link se me abría una pestaña redireccionando a una cuenta de Adcash.
Adcash es la típica página refer que te paga por que la gente vea publicidad.
Extracto de la página:
Promueva su marca a las audiencias de todo el mundo.
Contamos con tráfico de 150 000 sitios web de alto rendimiento que se convierte en más de 10 millones de clientes calificados por mes.
Conéctese con las personas correctas a través de:
Segmentación inteligente en todos los dispositivos y desde aplicaciones
Administración de cuentas efectiva
Mecanismos de protección seguros
Plataforma de autoservicio conveniente
Control total de sus campañas
Creamos nuestra plataforma de autoservicio fácil de usar para que pueda elegir, lanzar y administrar de forma independiente campañas publicitarias segmentadas de manera precisa.
Esta página deriva luego a otras de publicidad, antivirus, celulares, etc. Lo cuál es muy molesto si por cada click te abre otra pestaña.
También otra cosa que me hizo el virus es que me bajo la velocidad de internet de bajar a 1.5mb/s a pasar a unos constantes 100kb/s....
Que en este blog hacen referencia a lo mismo:
Consuming bandwidth
The worm came to light earlier this week after the operator of a Wyoming ISP contacted Sans and reported a large number of customers with compromised Linksys routers. As the routers scanned IP ports 80 and 8080 as fast as they could, they consumed the bandwidth of the unidentified ISP's customers, slowed down their legitimate activity, and interrupted streams and VPN connections.
In a comment left in response to this article, ISP operator Brett Glass said the range of devices that are vulnerable is likely much wider than previously determined. He explained:
The security exploit that's used by the worm will work on all current and recent Linksys routers, including the entire E-series as well as Valet routers and some with "WRT" part numbers (for example, the WRT160). However, this particular worm seems to focus on the E-series and appears to be aimed at marshaling a botnet. So far, it does not appear that the malware flashes itself in, so it can be removed by a reboot. But it appears that any router with stock firmware that's exposed to the Internet can be reinfected even if it has a secure password.
Después de putear un rato me fije que no tenga ninguna extensión o complemento en el navegador y pase el antivirus Panda Cloud.
Cuando el Panda no me encontró nada empecé con un raid de antivirus y antispywares.
- AVG
- SUPER ANTI SPYWARE
- ADCRAWLER
- MAL.WARE BY.TES
- AVIRA
- KASPERSKY
Fue algo muy loco cuando a la vez que ninguno me encontró nada ahora me empezaron a aparecer las publicidades del virus en otra pc de escritorio... y en el celular! (Moto G Android Lollipop)
Ahí es donde dije, o es un virus multiplataforma re zarpado, o... el hdp está en el router... (que es lo único en común que tenian todos).
Apago todas las pc y reseteo el router de fábrica y FUNCIONÓ!
Después de leer un poco algunos blogs, parece que el virus se llama The Moon y ataca a router Linksysm, aunque el mío es TPLINK.
Las recomendaciones para solucionar son:
- Quitar extensiones si el virus las instaló.
- Restear el router de fábrica.
- Cambiar la pass del router (no dejar admin de tplink)
- Quitar los DNS que tenía y ponerle otros.
- Cambiar la IP por defecto del router. No dejar 192.168.1.1
- Deshabilitar la asistencia remota al router.
ESPERO QUE LES SIRVA!