Windows Defender me detecta un troyano en el backup del hosting

xares Seguir

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 Ago 2019
Mensajes
70
Hola, He realizado un backup completo de un hosting en banahosting y lo he descargado en mi PC y al intentar mover esa copia a otra carpeta me saltó Windows Defender y me ha detectado que tiene el Troyano:Script/Wacatac.H!ml este de aqui: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan:Script/Wacatac.H!ml&threatid=2147814524

¿Esto es posible o será un falso positivo? He analizado las webs poniendo el dominio en virustotal.com y no ha salido nada malo, pero no sé si eso es muy fiable.
 

Berker

Mi
Verificación en dos pasos activada
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
15 Ene 2021
Mensajes
3.052
Lo más idóneo que podes hacer es utilizar un antivirus decente y pasar también Malware Bytes o algún otro similar a MB, ambas soluciones independientes, la primera no quita la segunda ni viceversa
 

Jarem

Mi
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Desde
16 Abr 2013
Mensajes
3.206
Revisa los archivos, asi limpie una web infectada, gracias a windows defender.
 

xares

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 Ago 2019
Mensajes
70
Revisa los archivos, asi limpie una web infectada, gracias a windows defender.
Cómo exactamente? Windows defender sólo me dice que el backup.tar.gz tiene ese troyano, pero no da más detalles.

Los de Banahosting lo podrían encontrar?

Es curioso porque tengo un vps administrado por mi, y en más de 4 años nunca me ha pasado nada parecido, pese a no ser ningún experto en seguridad. Pensaba que el vps sería menos seguro que un hosting.
 

Cicklow

Admin
Épsilon
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Suscripción a IA
Desde
30 May 2011
Mensajes
987
Cómo exactamente? Windows defender sólo me dice que el backup.tar.gz tiene ese troyano, pero no da más detalles.

Los de Banahosting lo podrían encontrar?

Es curioso porque tengo un vps administrado por mi, y en más de 4 años nunca me ha pasado nada parecido, pese a no ser ningún experto en seguridad. Pensaba que el vps sería menos seguro que un hosting.
descomprime el archivo y analiza la carpeta con el defender. asi sabras donde esta. tu vps tiene antivirus o lo puedes instalar y se lo pasas...
hay info sobre ese virus en medio internet... puedes ver tmb de que se trata, ejemplo: https://forospyware.com/t/trojanscriptwacatachml/29066
 

Jarem

Mi
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Desde
16 Abr 2013
Mensajes
3.206
windows defender te da la ruta exacta donde esta el virus, revisa el historial de proteccion ahi te debe indicar la ruta exacta.
 

xares

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 Ago 2019
Mensajes
70
descomprime el archivo y analiza la carpeta con el defender. asi sabras donde esta. tu vps tiene antivirus o lo puedes instalar y se lo pasas...
hay info sobre ese virus en medio internet... puedes ver tmb de que se trata, ejemplo: https://forospyware.com/t/trojanscriptwacatachml/29066
windows defender te da la ruta exacta donde esta el virus, revisa el historial de proteccion ahi te debe indicar la ruta exacta.
He pasado el antivirus de cpanel y no ha detectado nada. He vuelto a descargar el backup desde una máquina virtual, lo he analizado con Windows defender, la he descomprimido, y nada, no detecta nada. Luego he pasado ese mismo backup desde la máquina virtual al PC de antes, donde dio positivo, y ahora no da positivo.

Sin embargo, he vuelto a descargar el mismo backup desde el mismo navegador que use la primera vez (firefox) y me vuelve a dar positivo Windows defender por el mismo troyano. Es raro la verdad
 
Última edición:

Franco Gabriel

Épsilon
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
Desde
17 Nov 2022
Mensajes
833
Edad
27
Hola, He realizado un backup completo de un hosting en banahosting y lo he descargado en mi PC y al intentar mover esa copia a otra carpeta me saltó Windows Defender y me ha detectado que tiene el Troyano:Script/Wacatac.H!ml este de aqui: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan:Script/Wacatac.H!ml&threatid=2147814524

¿Esto es posible o será un falso positivo? He analizado las webs poniendo el dominio en virustotal.com y no ha salido nada malo, pero no sé si eso es muy fiable.
Yo uso https://www.eset.com/ar/hogar/deteccion-de-malware-online/ es gratis y muy bueno, siempre se actualiza, lo malo es que no es en tiempo real, pero te sirve para lo que tú quieres, no he visto nada mejor que este antivirus, y creo que tiene una opción también de tiempo real, pero nosé bien como funciona, te lo recomiendo, porque al igual que tú, he tenido este problema y lo utilizado...

Te digo algo, generalmente los antivirus detectan muchas cosas que no tienen nada de malo... Este es un problema del que microsoft está al tanto, y hace años lo saben, pero no logran solucionarlo, saludos
 

xares

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 Ago 2019
Mensajes
70
Yo uso https://www.eset.com/ar/hogar/deteccion-de-malware-online/ es gratis y muy bueno, siempre se actualiza, lo malo es que no es en tiempo real, pero te sirve para lo que tú quieres, no he visto nada mejor que este antivirus, y creo que tiene una opción también de tiempo real, pero nosé bien como funciona, te lo recomiendo, porque al igual que tú, he tenido este problema y lo utilizado...

Te digo algo, generalmente los antivirus detectan muchas cosas que no tienen nada de malo... Este es un problema del que microsoft está al tanto, y hace años lo saben, pero no logran solucionarlo, saludos
Pues le he pasado ese antivirus que me has dicho y no detecta nada, sin embargo, windows defender sigue detectando algo raro en ese backup en concreto, y con los backups anteriores no detecta nada. He intentado analizar el backup por partes, separando las webs, y no detecta nada, solo detecta algo todo junto. A lo mejor es un falso positivo, pero me deja mosca
 

Franco Gabriel

Épsilon
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
Desde
17 Nov 2022
Mensajes
833
Edad
27
Pues le he pasado ese antivirus que me has dicho y no detecta nada, sin embargo, windows defender sigue detectando algo raro en ese backup en concreto, y con los backups anteriores no detecta nada. He intentado analizar el backup por partes, separando las webs, y no detecta nada, solo detecta algo todo junto. A lo mejor es un falso positivo, pero me deja mosca
Mira, dudo sea un problema, solo te aconsejo tener el Defender siempre actualizado, windows 11 de ser posible, además de eso, activo en tiempo real, porque es un buen antivirus, y es ágil, por otro lado usar el que te recomendé solo para cuando necesites ayuda con el archivo en específico (como en este caso). Así lo hago yo, y nunca he tenido problemas.

De hecho una vez me bloquearon las fotos y musicas de mi dispositivo, y me cobraban no se cuantos USD los hackers para devolverme mis archivos, perdi muchas cosas, fue un tema que no quisiera recordar, todo por bajar un video juego en internet... No tenía antivirus, y pues ahí el problema... Arepndí así... Y ahora siempre me protejo de esta manera

El virus ODIN te suena? Ese virus era, ya lo recordé! (editado el comentario para agregarlo)
 

xares

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 Ago 2019
Mensajes
70
Mira, dudo sea un problema, solo te aconsejo tener el Defender siempre actualizado, windows 11 de ser posible, además de eso, activo en tiempo real, porque es un buen antivirus, y es ágil, por otro lado usar el que te recomendé solo para cuando necesites ayuda con el archivo en específico (como en este caso). Así lo hago yo, y nunca he tenido problemas.

De hecho una vez me bloquearon las fotos y musicas de mi dispositivo, y me cobraban no se cuantos USD los hackers para devolverme mis archivos, perdi muchas cosas, fue un tema que no quisiera recordar, todo por bajar un video juego en internet... No tenía antivirus, y pues ahí el problema... Arepndí así... Y ahora siempre me protejo de esta manera

El virus ODIN te suena? Ese virus era, ya lo recordé! (editado el comentario para agregarlo)
No me suena ese virus, pero se que se puso de moda algunos virus que encriptaban todo y pedían rescates. Yo suelo hacer siempre copias de seguridad de forma automática, y luego hago manualmente copias de seguridad de las copias de seguridad. xD Aunque nunca he tenido problema de robos de contraseñas o bloqueos de datos.

He analizado una de las webs con esta web: https://quttera.com, y me dice que tiene esta amenaza sospechosa (P.D. SuspScript.gen) A lo mejor es ese el problema, pero no tengo ni idea de cómo limpiarla. Tampoco es una web que me importe mucho, porque la uso más que nada para hacer experimentos SEO, pero me gustaría limpiarla.
 

Franco Gabriel

Épsilon
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
Desde
17 Nov 2022
Mensajes
833
Edad
27
No me suena ese virus, pero se que se puso de moda algunos virus que encriptaban todo y pedían rescates. Yo suelo hacer siempre copias de seguridad de forma automática, y luego hago manualmente copias de seguridad de las copias de seguridad. xD Aunque nunca he tenido problema de robos de contraseñas o bloqueos de datos.

He analizado una de las webs con esta web: https://quttera.com, y me dice que tiene esta amenaza sospechosa (P.D. SuspScript.gen) A lo mejor es ese el problema, pero no tengo ni idea de cómo limpiarla. Tampoco es una web que me importe mucho, porque la uso más que nada para hacer experimentos SEO, pero me gustaría limpiarla.
Pues si es de experimentos SEO, creo que es importante, imaginate tener que hacerlo todo de nuevo, de hecho me interesa, quizás piense hacerme una también ahora que lo mencionas. Volviendo al tema, creo que es importante sí, que la recuperes, has intentado bajarlo variadas veces y luego escanear cada descarga? Quizás sea un problema de la descarga también? En todo caso, yo me arriesgaría a abrirla porque parece ser importante... No creo que tenga virus, más bien pareciera ser un simple error de falsa detección
 

Carlos Frias

1
Ro
SysManager
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
6 Nov 2016
Mensajes
7.794
Seguramente tienes múltiples cosas vulnerables en el Website, aunque el hosting tiene sus mecanismos de seguridad no siempre son muy precisos que digamos, también hay cierta responsabilidad por parte de los clientes en ese aspecto, puedes full escanearlo con Bitdefender y luego con Malwarebytes, si es Wordpress actualizarle todo y reinstalar el core, desechar cualquier cosa que no sea parte oficial del CMS entre otros detalles que ya se ha debatido con frecuencia en otros temas relacionados acá en el foro.
 
U

Usuario eliminado 262271

Lo más probable es que Windows Defender te esté dando un falso positivo, no obstante como te han comentado sería recomendado que utilizaras un Antivirus más profesional como te comenta Carlos Frias: Bitdefender, Malwarebytes o ESET Smart security, tu proveedor de alojamiento debería tener un antimalware más profesional como por ejemplo Imunify que seguro lo detecta.
 

xares

Beta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 Ago 2019
Mensajes
70
Pues si es de experimentos SEO, creo que es importante, imaginate tener que hacerlo todo de nuevo, de hecho me interesa, quizás piense hacerme una también ahora que lo mencionas. Volviendo al tema, creo que es importante sí, que la recuperes, has intentado bajarlo variadas veces y luego escanear cada descarga? Quizás sea un problema de la descarga también? En todo caso, yo me arriesgaría a abrirla porque parece ser importante... No creo que tenga virus, más bien pareciera ser un simple error de falsa detección
Seguramente tienes múltiples cosas vulnerables en el Website, aunque el hosting tiene sus mecanismos de seguridad no siempre son muy precisos que digamos, también hay cierta responsabilidad por parte de los clientes en ese aspecto, puedes full escanearlo con Bitdefender y luego con Malwarebytes, si es Wordpress actualizarle todo y reinstalar el core, desechar cualquier cosa que no sea parte oficial del CMS entre otros detalles que ya se ha debatido con frecuencia en otros temas relacionados acá en el foro.
Lo más probable es que Windows Defender te esté dando un falso positivo, no obstante como te han comentado sería recomendado que utilizaras un Antivirus más profesional como te comenta Carlos Frias: Bitdefender, Malwarebytes o ESET Smart security, tu proveedor de alojamiento debería tener un antimalware más profesional como por ejemplo Imunify que seguro lo detecta.
Gracias a todos, He pasado las versiones gratuitas de los antivirus que habéis nombrado y ninguno detecta el backup como infectado (solo windows defender), y en el hosting tampoco detecta nada el antivirus de cpanel. Sobre Imunify360 tampoco sale nada sospechoso, lo que pasa es que las webs las tengo con cloudflare, y me parece que Imunify360 no funciona con cloudflare.

Ayer una web en quttera.com me decia que tenía este problema:
Detected potentially suspicious initialization of function pointer to JavaScript method eval CcodeE __tmpvar528836875 = eval; Ccode/E

Pero hoy he vuelto a mirar hoy la web y ahora me dice que está limpia. Lo raro es que lo único que hice fue limpiar la cache. Hoy o le he instalado varios plugins de seguridad como securi o wordfence y no encontraron nada.

 
U

Usuario eliminado 262271

Gracias a todos, He pasado las versiones gratuitas de los antivirus que habéis nombrado y ninguno detecta el backup como infectado (solo windows defender), y en el hosting tampoco detecta nada el antivirus de cpanel. Sobre Imunify360 tampoco sale nada sospechoso, lo que pasa es que las webs las tengo con cloudflare, y me parece que Imunify360 no funciona con cloudflare.

Ayer una web en quttera.com me decia que tenía este problema:
Detected potentially suspicious initialization of function pointer to JavaScript method eval CcodeE __tmpvar528836875 = eval; Ccode/E

Pero hoy he vuelto a mirar hoy la web y ahora me dice que está limpia. Lo raro es que lo único que hice fue limpiar la cache. Hoy o le he instalado varios plugins de seguridad como securi o wordfence y no encontraron nada.

Como te comenté, era probable que fuese un falso positivo de Windows defender.
 

akirakenji

Beta
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
7 Mar 2018
Mensajes
105
cuento lo que me pasa a mi, yo comparto archivos y hace una semana aprox un usuario me comento que un archivo estaba infectado por Trojan:Script/Wacatac.H!ml el usuario tiene Windows defender, yo descargue el archivo y nada, tengo avast suit premium subí el archivo a virus total tampoco nada, para estar seguro escanee todo el pc e instale malwarebyte al final mismo resultado. en otro pc que solo tiene Windows defender si me salto la notificación quiero aclarar que solo comparto videos pero los comprimo en rar.

La cosa es que después de muchas pruebas llegue a la conclusión que salta el mensaje solo con los archivos tipo rar como zip, 7Z, TGZ etc y si tienes Windows defender.

Esto no pasa en todos los archivos y tampoco se por que pasa pero ya tengo a dos personas que tiene el mismo problema con sus usuarios con Windows defender de hecho uno dejo mensaje en su web que desde la ultima actualización Windows defender esta sensible.
Just want to let you guys know that looks like the recent Windows update made Windows Defender very sensitive than usual.
If you get more trojan or virus alerts often than usual when you download books or novels, this might be the cause.
Most of them are just false positives.

Igual y solo creo que que como tu copia de seguridad esta en formato .tar.gz que también es un falso positivo.

quiero crear otro tema haber si mas personas que comparten contenido comprimido han tenido este problema saludos.
 
U

Usuario eliminado 262271

cuento lo que me pasa a mi, yo comparto archivos y hace una semana aprox un usuario me comento que un archivo estaba infectado por Trojan:Script/Wacatac.H!ml el usuario tiene Windows defender, yo descargue el archivo y nada, tengo avast suit premium subí el archivo a virus total tampoco nada, para estar seguro escanee todo el pc e instale malwarebyte al final mismo resultado. en otro pc que solo tiene Windows defender si me salto la notificación quiero aclarar que solo comparto videos pero los comprimo en rar.

La cosa es que después de muchas pruebas llegue a la conclusión que salta el mensaje solo con los archivos tipo rar como zip, 7Z, TGZ etc y si tienes Windows defender.

Esto no pasa en todos los archivos y tampoco se por que pasa pero ya tengo a dos personas que tiene el mismo problema con sus usuarios con Windows defender de hecho uno dejo mensaje en su web que desde la ultima actualización Windows defender esta sensible.
Just want to let you guys know that looks like the recent Windows update made Windows Defender very sensitive than usual.
If you get more trojan or virus alerts often than usual when you download books or novels, this might be the cause.
Most of them are just false positives.

Igual y solo creo que que como tu copia de seguridad esta en formato .tar.gz que también es un falso positivo.

quiero crear otro tema haber si mas personas que comparten contenido comprimido han tenido este problema saludos.
¿Te indica el archivo exacto infectado?, de ser así, lo has supervisado manual?.
 

arnego2

1
Pi
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Desde
1 Mar 2015
Mensajes
5.870
Este archivo existe? El que fue descubierto por el Defender.
.tar.gz puedes abrir, por lo menos en Linux.
 

¡Regístrate y comienza a ganar!

Beneficios

  • Gana dinero por participar
  • Gana dinero por recomendarnos
  • Descubre ofertas de empleo diariamente
  • Negocios seguros
  • ¡Información premium y más!

Acceder

¿Ya tienes una cuenta? Accede aquí

Arriba