Windows Defender me detecta un troyano en el backup del hosting

xares · 24 Mar 2023

Hola, He realizado un backup completo de un hosting en banahosting y lo he descargado en mi PC y al intentar mover esa copia a otra carpeta me saltó Windows Defender y me ha detectado que tiene el Troyano:Script/Wacatac.H!ml este de aqui: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan:Script/Wacatac.H!ml&threatid=2147814524

¿Esto es posible o será un falso positivo? He analizado las webs poniendo el dominio en virustotal.com y no ha salido nada malo, pero no sé si eso es muy fiable.

Berker · 24 Mar 2023

Lo más idóneo que podes hacer es utilizar un antivirus decente y pasar también Malware Bytes o algún otro similar a MB, ambas soluciones independientes, la primera no quita la segunda ni viceversa

Jarem · 24 Mar 2023

Revisa los archivos, asi limpie una web infectada, gracias a windows defender.

xares · 24 Mar 2023

Jarem dijo:
Revisa los archivos, asi limpie una web infectada, gracias a windows defender.

Cómo exactamente? Windows defender sólo me dice que el backup.tar.gz tiene ese troyano, pero no da más detalles.

Los de Banahosting lo podrían encontrar?

Es curioso porque tengo un vps administrado por mi, y en más de 4 años nunca me ha pasado nada parecido, pese a no ser ningún experto en seguridad. Pensaba que el vps sería menos seguro que un hosting.

Cicklow · 24 Mar 2023

xares dijo:
Cómo exactamente? Windows defender sólo me dice que el backup.tar.gz tiene ese troyano, pero no da más detalles.

Los de Banahosting lo podrían encontrar?

Es curioso porque tengo un vps administrado por mi, y en más de 4 años nunca me ha pasado nada parecido, pese a no ser ningún experto en seguridad. Pensaba que el vps sería menos seguro que un hosting.

descomprime el archivo y analiza la carpeta con el defender. asi sabras donde esta. tu vps tiene antivirus o lo puedes instalar y se lo pasas...
hay info sobre ese virus en medio internet... puedes ver tmb de que se trata, ejemplo: https://forospyware.com/t/trojanscriptwacatachml/29066

Jarem · 24 Mar 2023

windows defender te da la ruta exacta donde esta el virus, revisa el historial de proteccion ahi te debe indicar la ruta exacta.

xares · 24 Mar 2023

Cicklow dijo:
descomprime el archivo y analiza la carpeta con el defender. asi sabras donde esta. tu vps tiene antivirus o lo puedes instalar y se lo pasas...
hay info sobre ese virus en medio internet... puedes ver tmb de que se trata, ejemplo: https://forospyware.com/t/trojanscriptwacatachml/29066

Jarem dijo:
windows defender te da la ruta exacta donde esta el virus, revisa el historial de proteccion ahi te debe indicar la ruta exacta.

He pasado el antivirus de cpanel y no ha detectado nada. He vuelto a descargar el backup desde una máquina virtual, lo he analizado con Windows defender, la he descomprimido, y nada, no detecta nada. Luego he pasado ese mismo backup desde la máquina virtual al PC de antes, donde dio positivo, y ahora no da positivo.

Sin embargo, he vuelto a descargar el mismo backup desde el mismo navegador que use la primera vez (firefox) y me vuelve a dar positivo Windows defender por el mismo troyano. Es raro la verdad

Franco Gabriel · 24 Mar 2023

xares dijo:
Hola, He realizado un backup completo de un hosting en banahosting y lo he descargado en mi PC y al intentar mover esa copia a otra carpeta me saltó Windows Defender y me ha detectado que tiene el Troyano:Script/Wacatac.H!ml este de aqui: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan:Script/Wacatac.H!ml&threatid=2147814524

¿Esto es posible o será un falso positivo? He analizado las webs poniendo el dominio en virustotal.com y no ha salido nada malo, pero no sé si eso es muy fiable.

Yo uso https://www.eset.com/ar/hogar/deteccion-de-malware-online/ es gratis y muy bueno, siempre se actualiza, lo malo es que no es en tiempo real, pero te sirve para lo que tú quieres, no he visto nada mejor que este antivirus, y creo que tiene una opción también de tiempo real, pero nosé bien como funciona, te lo recomiendo, porque al igual que tú, he tenido este problema y lo utilizado...

Te digo algo, generalmente los antivirus detectan muchas cosas que no tienen nada de malo... Este es un problema del que microsoft está al tanto, y hace años lo saben, pero no logran solucionarlo, saludos

xares · 25 Mar 2023

Franco Gabriel dijo:
Yo uso https://www.eset.com/ar/hogar/deteccion-de-malware-online/ es gratis y muy bueno, siempre se actualiza, lo malo es que no es en tiempo real, pero te sirve para lo que tú quieres, no he visto nada mejor que este antivirus, y creo que tiene una opción también de tiempo real, pero nosé bien como funciona, te lo recomiendo, porque al igual que tú, he tenido este problema y lo utilizado...

Te digo algo, generalmente los antivirus detectan muchas cosas que no tienen nada de malo... Este es un problema del que microsoft está al tanto, y hace años lo saben, pero no logran solucionarlo, saludos

Pues le he pasado ese antivirus que me has dicho y no detecta nada, sin embargo, windows defender sigue detectando algo raro en ese backup en concreto, y con los backups anteriores no detecta nada. He intentado analizar el backup por partes, separando las webs, y no detecta nada, solo detecta algo todo junto. A lo mejor es un falso positivo, pero me deja mosca

Franco Gabriel · 25 Mar 2023

xares dijo:
Pues le he pasado ese antivirus que me has dicho y no detecta nada, sin embargo, windows defender sigue detectando algo raro en ese backup en concreto, y con los backups anteriores no detecta nada. He intentado analizar el backup por partes, separando las webs, y no detecta nada, solo detecta algo todo junto. A lo mejor es un falso positivo, pero me deja mosca

Mira, dudo sea un problema, solo te aconsejo tener el Defender siempre actualizado, windows 11 de ser posible, además de eso, activo en tiempo real, porque es un buen antivirus, y es ágil, por otro lado usar el que te recomendé solo para cuando necesites ayuda con el archivo en específico (como en este caso). Así lo hago yo, y nunca he tenido problemas.

De hecho una vez me bloquearon las fotos y musicas de mi dispositivo, y me cobraban no se cuantos USD los hackers para devolverme mis archivos, perdi muchas cosas, fue un tema que no quisiera recordar, todo por bajar un video juego en internet... No tenía antivirus, y pues ahí el problema... Arepndí así... Y ahora siempre me protejo de esta manera

El virus ODIN te suena? Ese virus era, ya lo recordé! (editado el comentario para agregarlo)

xares · 25 Mar 2023

Franco Gabriel dijo:
Mira, dudo sea un problema, solo te aconsejo tener el Defender siempre actualizado, windows 11 de ser posible, además de eso, activo en tiempo real, porque es un buen antivirus, y es ágil, por otro lado usar el que te recomendé solo para cuando necesites ayuda con el archivo en específico (como en este caso). Así lo hago yo, y nunca he tenido problemas.

De hecho una vez me bloquearon las fotos y musicas de mi dispositivo, y me cobraban no se cuantos USD los hackers para devolverme mis archivos, perdi muchas cosas, fue un tema que no quisiera recordar, todo por bajar un video juego en internet... No tenía antivirus, y pues ahí el problema... Arepndí así... Y ahora siempre me protejo de esta manera

El virus ODIN te suena? Ese virus era, ya lo recordé! (editado el comentario para agregarlo)

No me suena ese virus, pero se que se puso de moda algunos virus que encriptaban todo y pedían rescates. Yo suelo hacer siempre copias de seguridad de forma automática, y luego hago manualmente copias de seguridad de las copias de seguridad. xD Aunque nunca he tenido problema de robos de contraseñas o bloqueos de datos.

He analizado una de las webs con esta web: https://quttera.com, y me dice que tiene esta amenaza sospechosa (P.D. SuspScript.gen) A lo mejor es ese el problema, pero no tengo ni idea de cómo limpiarla. Tampoco es una web que me importe mucho, porque la uso más que nada para hacer experimentos SEO, pero me gustaría limpiarla.

Franco Gabriel · 25 Mar 2023

xares dijo:
No me suena ese virus, pero se que se puso de moda algunos virus que encriptaban todo y pedían rescates. Yo suelo hacer siempre copias de seguridad de forma automática, y luego hago manualmente copias de seguridad de las copias de seguridad. xD Aunque nunca he tenido problema de robos de contraseñas o bloqueos de datos.

He analizado una de las webs con esta web: https://quttera.com, y me dice que tiene esta amenaza sospechosa (P.D. SuspScript.gen) A lo mejor es ese el problema, pero no tengo ni idea de cómo limpiarla. Tampoco es una web que me importe mucho, porque la uso más que nada para hacer experimentos SEO, pero me gustaría limpiarla.

Pues si es de experimentos SEO, creo que es importante, imaginate tener que hacerlo todo de nuevo, de hecho me interesa, quizás piense hacerme una también ahora que lo mencionas. Volviendo al tema, creo que es importante sí, que la recuperes, has intentado bajarlo variadas veces y luego escanear cada descarga? Quizás sea un problema de la descarga también? En todo caso, yo me arriesgaría a abrirla porque parece ser importante... No creo que tenga virus, más bien pareciera ser un simple error de falsa detección

Carlos Frias · 26 Mar 2023

Seguramente tienes múltiples cosas vulnerables en el Website, aunque el hosting tiene sus mecanismos de seguridad no siempre son muy precisos que digamos, también hay cierta responsabilidad por parte de los clientes en ese aspecto, puedes full escanearlo con Bitdefender y luego con Malwarebytes, si es Wordpress actualizarle todo y reinstalar el core, desechar cualquier cosa que no sea parte oficial del CMS entre otros detalles que ya se ha debatido con frecuencia en otros temas relacionados acá en el foro.

Usuario eliminado 262271 · 26 Mar 2023

Lo más probable es que Windows Defender te esté dando un falso positivo, no obstante como te han comentado sería recomendado que utilizaras un Antivirus más profesional como te comenta Carlos Frias: Bitdefender, Malwarebytes o ESET Smart security, tu proveedor de alojamiento debería tener un antimalware más profesional como por ejemplo Imunify que seguro lo detecta.

xares · 26 Mar 2023

Franco Gabriel dijo:
Pues si es de experimentos SEO, creo que es importante, imaginate tener que hacerlo todo de nuevo, de hecho me interesa, quizás piense hacerme una también ahora que lo mencionas. Volviendo al tema, creo que es importante sí, que la recuperes, has intentado bajarlo variadas veces y luego escanear cada descarga? Quizás sea un problema de la descarga también? En todo caso, yo me arriesgaría a abrirla porque parece ser importante... No creo que tenga virus, más bien pareciera ser un simple error de falsa detección

Carlos Frias dijo:
Seguramente tienes múltiples cosas vulnerables en el Website, aunque el hosting tiene sus mecanismos de seguridad no siempre son muy precisos que digamos, también hay cierta responsabilidad por parte de los clientes en ese aspecto, puedes full escanearlo con Bitdefender y luego con Malwarebytes, si es Wordpress actualizarle todo y reinstalar el core, desechar cualquier cosa que no sea parte oficial del CMS entre otros detalles que ya se ha debatido con frecuencia en otros temas relacionados acá en el foro.

Hosting Radio dijo:
Lo más probable es que Windows Defender te esté dando un falso positivo, no obstante como te han comentado sería recomendado que utilizaras un Antivirus más profesional como te comenta Carlos Frias: Bitdefender, Malwarebytes o ESET Smart security, tu proveedor de alojamiento debería tener un antimalware más profesional como por ejemplo Imunify que seguro lo detecta.

Gracias a todos, He pasado las versiones gratuitas de los antivirus que habéis nombrado y ninguno detecta el backup como infectado (solo windows defender), y en el hosting tampoco detecta nada el antivirus de cpanel. Sobre Imunify360 tampoco sale nada sospechoso, lo que pasa es que las webs las tengo con cloudflare, y me parece que Imunify360 no funciona con cloudflare.

Ayer una web en quttera.com me decia que tenía este problema:

Detected potentially suspicious initialization of function pointer to JavaScript method eval CcodeE __tmpvar528836875 = eval; Ccode/E

Pero hoy he vuelto a mirar hoy la web y ahora me dice que está limpia. Lo raro es que lo único que hice fue limpiar la cache. Hoy o le he instalado varios plugins de seguridad como securi o wordfence y no encontraron nada.

Usuario eliminado 262271 · 27 Mar 2023

xares dijo:
Gracias a todos, He pasado las versiones gratuitas de los antivirus que habéis nombrado y ninguno detecta el backup como infectado (solo windows defender), y en el hosting tampoco detecta nada el antivirus de cpanel. Sobre Imunify360 tampoco sale nada sospechoso, lo que pasa es que las webs las tengo con cloudflare, y me parece que Imunify360 no funciona con cloudflare.

Ayer una web en quttera.com me decia que tenía este problema:

Detected potentially suspicious initialization of function pointer to JavaScript method eval CcodeE __tmpvar528836875 = eval; Ccode/E

Pero hoy he vuelto a mirar hoy la web y ahora me dice que está limpia. Lo raro es que lo único que hice fue limpiar la cache. Hoy o le he instalado varios plugins de seguridad como securi o wordfence y no encontraron nada.

Como te comenté, era probable que fuese un falso positivo de Windows defender.

akirakenji · 27 Mar 2023

cuento lo que me pasa a mi, yo comparto archivos y hace una semana aprox un usuario me comento que un archivo estaba infectado por Trojan:Script/Wacatac.H!ml el usuario tiene Windows defender, yo descargue el archivo y nada, tengo avast suit premium subí el archivo a virus total tampoco nada, para estar seguro escanee todo el pc e instale malwarebyte al final mismo resultado. en otro pc que solo tiene Windows defender si me salto la notificación quiero aclarar que solo comparto videos pero los comprimo en rar.

La cosa es que después de muchas pruebas llegue a la conclusión que salta el mensaje solo con los archivos tipo rar como zip, 7Z, TGZ etc y si tienes Windows defender.

Esto no pasa en todos los archivos y tampoco se por que pasa pero ya tengo a dos personas que tiene el mismo problema con sus usuarios con Windows defender de hecho uno dejo mensaje en su web que desde la ultima actualización Windows defender esta sensible.

Just want to let you guys know that looks like the recent Windows update made Windows Defender very sensitive than usual.
If you get more trojan or virus alerts often than usual when you download books or novels, this might be the cause.
Most of them are just false positives.

Igual y solo creo que que como tu copia de seguridad esta en formato .tar.gz que también es un falso positivo.

quiero crear otro tema haber si mas personas que comparten contenido comprimido han tenido este problema saludos.

Usuario eliminado 262271 · 27 Mar 2023

akirakenji dijo:
cuento lo que me pasa a mi, yo comparto archivos y hace una semana aprox un usuario me comento que un archivo estaba infectado por Trojan:Script/Wacatac.H!ml el usuario tiene Windows defender, yo descargue el archivo y nada, tengo avast suit premium subí el archivo a virus total tampoco nada, para estar seguro escanee todo el pc e instale malwarebyte al final mismo resultado. en otro pc que solo tiene Windows defender si me salto la notificación quiero aclarar que solo comparto videos pero los comprimo en rar.

La cosa es que después de muchas pruebas llegue a la conclusión que salta el mensaje solo con los archivos tipo rar como zip, 7Z, TGZ etc y si tienes Windows defender.

Esto no pasa en todos los archivos y tampoco se por que pasa pero ya tengo a dos personas que tiene el mismo problema con sus usuarios con Windows defender de hecho uno dejo mensaje en su web que desde la ultima actualización Windows defender esta sensible.

Just want to let you guys know that looks like the recent Windows update made Windows Defender very sensitive than usual.
If you get more trojan or virus alerts often than usual when you download books or novels, this might be the cause.
Most of them are just false positives.

Igual y solo creo que que como tu copia de seguridad esta en formato .tar.gz que también es un falso positivo.

quiero crear otro tema haber si mas personas que comparten contenido comprimido han tenido este problema saludos.

¿Te indica el archivo exacto infectado?, de ser así, lo has supervisado manual?.

akirakenji · 27 Mar 2023

Hosting Radio dijo:
¿Te indica el archivo exacto infectado?, de ser así, lo has supervisado manual?.

aquí abrí un tema con respecto a esto y explico mejor el caso y lo que hice https://forobeta.com/temas/trojan-s...-o-falso-positivo-de-windows-defender.940924/

arnego2 · 27 Mar 2023

Este archivo existe? El que fue descubierto por el Defender.
.tar.gz puedes abrir, por lo menos en Linux.

Windows Defender me detecta un troyano en el backup del hosting

Usuario eliminado 262271

​

Usuario eliminado 262271

​

Usuario eliminado 262271