Crunchyroll.com fue hackeado para distribuir malware, aquí como eliminarlo

Esta mañana fue hackeado el sitio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, y se le invitaba a los visitantes a descargar una versión ejecutable de escritorio del sitio.

Cuando el staff se entero del ataque, informo inmediatamente a los usuarios a no visitar el sitio mientras investigaban.



Mientras el ataque duro a los visitantes se les ofreció descargar una aplicación ejecutable la cual el sitio no ofrece originalmente. Esa fue solo la estrategia usada por los atacantes para infectar a los usuarios del sitio.

Así lucia el ataque:


La versión oficial de la empresa es que no fueron hackeados y que todo se trato de un DNS hijack.



De acuerdo a los comunicados oficiales de la empresa el sitio es seguro nuevamente y esta disponible para usarlo de nuevo.

Que se ha instalado en mi maquina, si instalamos el virus ?

Si descargaste el reproductor y lo ejecutaste, este procedió a extraer un archivo base64 en %AppData%\svchost.exe y ejecutarlo, el cual luce asi:


Embedded Base64 Encoded File

Cuando el ejecutable malicioso arranca este crea una rutina JAVA de autoarranque para %AppData%\svchost.exe

De acuerdo a las investigaciones de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el malware se trata de un keylogger.

Como remuevo la infección de mi pc ?

Lamentablemente este virus aun no es detectado por la mayoria de firmas antivirus y debes extraerlo a mano tu mismo, pero no te preocupes el proceso es sencillo.

1. Abre el editor del registro, escribiendo "regedit" sin las comillas en el menú de inicio, cuando veas el resultado regedit.exe o Editor del Registro en los resultados ejecútalo.

2. Cuando cargue, navega hasta la ruta:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Alli observaras un valor de llave, llamado "Java"

Java Registry Value

3. Ahora con click derecho sobre el valor Java, selecciona la opcion Eliminar.

Delete Value

4. Si el sistema te pregunta que confirmes la eliminación del valor, dile que si.

5. Ahora reinicia la pc y ya el virus no debería seguirse ejecutando en tu sistema.

6. Ahora navega hasta la ruta %AppData% (tecla windows sostenida + r y ejecutas el comando "%AppData%" sin las comillas), casi siempre la ruta es C:\users\[user_name]\appdata\roaming en esa ruta observaras un programa llamado svchost.exe

Svchost.exe in AppData Folder

7. Clic derecho en dicho archivo y eliminar.

8. Seria bueno que hicieras igualmente un escaneo normal con tu software antivirus, si no tienes uno esta seria una buena oportunidad para preguntarte por que no instalar uno ahora.

9. Si efectivamente el virus era un keylogger deberías considerar cambiar todas tus claves urgentemente, por lo menos las que hayas usado desde que instalaste el reproductor falso.

Ahora tu pc esta a salvo del virus fruto del hack a crunchyroll.

Fuente, Articulo traducido del ingles al español por Graphixx:

https://www.bleepingcomputer.com/news/security/popular-anime-site-crunchyroll-com-hijacked-to-distribute-malware/