Los responsables del servicio
online Crunchyroll han visto como su seguridad se veía comprometida,
distribuyendo malware durante las últimas horas. Los responsables han pasado
todo el día de ayer buscando una solución al problema.
Sin ir más lejos, el
servicio permaneció fuera de servicio gran parte del día de ayer, momento en el
que se detectó que algo no funcionaba de forma correcta. Para ser más exactos,
una vez el usuario había accedido a la web, en determinadas opciones del menú
se ofrecía la posibilidad de probar una nueva aplicación de escritorio, algo
totalmente inexistente. Muchos usuarios aceptaron la prueba. Es decir, se
realizó la descarga del malware en el equipo.
Indicar que la
amenaza solo afecta a los usuarios que posean un equipo con sistema operativo
Windows.
Fue la propia empresa
la que se percató de que algo no funcionaba de forma correcta. Sin embargo,
esto no termina aquí. Desde los responsables del servicio indican que no existe
ningún tipo de hackeo. No busca justificar la puesta fuera de servicio, pero
indican que la descarga de ese malware se debe a una modificación de las
direcciones DNS en los equipos de los usuarios. Esto no concuerda con la
versión emitida por diferentes expertos en seguridad.
Por el momento, desde
Crunchyroll.com están evitando ofrecer cualquier detalle al respecto.
Detalles sobre el malware disponible en
Crunchyroll.com
Obviamente, existen
pruebas de que no existe ningún problema en el equipo de los usuarios. A
continuación, te ofrecemos todos los detalles.
En primer lugar, una
vez descargado el ejecutable, si se realiza su ejecución se produce una
extracción de archivos en el directorio %AppData%. Dentro de este se pueden
encontrar varios ejecutables relacionados con el malware que se ejecutarán. El
más importante es el que posee el nombre Crunchyroll.exe, codificado utilizando
base 64.
Pero la realidad es
que no se conocen muchos detalles al respecto. Para ser más exactos, llegados a
este punto no existe una hoja de ruta para saber a ciencia cierta cuál es la
actividad desarrollada por la amenaza. Son varios los expertos en seguridad que
apuntan a que nos encontramos ante un simple keylogger, aunque no es una
información confirmada aún.
¿Se puede eliminar de forma sencilla?
Todo parece indicar a
que la tarea de eliminación no resulta excesivamente complicada, o al menos eso
parece. Lo que sí es un problema es que la mayoría de las herramientas de seguridad
no son capaces de detectar la amenaza.
Por este motivo, toca
llevar a cabo el proceso a mano.
Debemos acudir al
registro de Windows tecleando regedit. Una vez hemos accedido debemos buscar la
ubicación siguiente:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Debemos buscar un
valor llamado Java. Una vez lo hemos encontrado, debemos llevar a cabo su
eliminación, pulsando sobre él con el botón derecho del ratón. Una vez
eliminado este elemento, volvemos a la carpeta %AppData% para eliminar el
ejecutable svchost.exe. Después de esta acción, sería suficiente llevar a cabo
un análisis con una herramienta de seguridad para garantizar que hemos
eliminado la amenaza de nuestro equipo de forma correcta.
Si has estado
afectado por este malware, teniendo en cuenta que parece que su principal
función es la de un keylogger, sería conveniente modificar también las
contraseñas asociadas a los servicios que utilizamos desde el PC afectado.
Fuente: Bleeping Computer