¡Ojo! FossHub ha sido hackeado y la mayoría de sus programas contienen virus

Escrito por Alberto García
Software

Fosshub es uno de los mayores repositorios open-source de la red, y es el sitio al que redirigen la mayoría de programas de código abierto, algunos tan famosos y populares como qBittorrent, Audacity, Classic Shell, MKVToolNix, Calibre, HWiNFO o IrfanView. Todos estos programas se han visto comprometidos con virus muy peligrosos que incluso bloquean el arranque del ordenador.

Un grupo de hackers bajo el nombre de PeggleCrew ha conseguido acceso al sitio, y han podido modificar los archivos que descargaban los usuarios e introducir malware en ellos. Los atacantes aseguran que consiguieron acceder gracias a “un servicio de red sin autenticación que estaba expuesto a Internet”. A partir de ahí, accedieron al código fuente y credenciales de acceso de la web, lo cual les permitió acceder a la infraestructura de FossHub.

Open-Source alerta

El grupo de hackers ha estado comentando todos los problemas que han tenido los usuarios a raíz de esto, y mofándose de ellos. Además, han comentado que han accedido al correo personal del administrador de la web, y aunque no han hecho pública ninguna información personal, aseguran que las contraseñas no estaban cifradas.

Todos los programas del sitio web fueron sustituidos

Inicialmente, los hackers sólo sustituyeron sólo los instaladores de Audacity y Classic Shell, subiéndolos a través de la interfaz de la que disponen los desarrolladores para subir su contenido. El instalador de Classic Shell ocupa 6.88 MB, mientras que el infectado ocupaba 6.81 MB. Mismo nombre, mismo icono, y prácticamente el mismo tamaño. La única diferencia es que el archivo infectado no ejecutaba ningún instalador.

Una vez los administradores de FossHub lo descubrieron, revirtieron los cambios, y aquí es cuando Cult of Peggle reemplazó todos los ejecutables de los servidores de FossHub con un reemplazador de MBR. Este código malicioso pasa prácticamente desapercibido por los antivirus por ser nuevo.

Cuando los usuarios ejecutaban e instalaban el programa descargado de la web y reiniciaban el ordenador, se encontraban con un mensaje que los atacantes habían escrito, y no se podía iniciar el ordenador. Esto es debido a que el malware reescribía el código MBR (Master Boot Record), que es una sección que se encuentra en la unidad de inicio (SSD o HDD) y que es clave para el arranque del ordenador.

mbr peggle

A pesar de que querían instalar un rootkit para tener acceso de administrador al sistema, no lo consiguieron, y simplemente se limitaron a crear este virus que bloqueaba el inicio del ordenador.

En el caso de que os hayáis visto infectados por esto, aquí tenéis un vídeo de cómo eliminar el malware. Tan sólo hay que iniciar en reparación del sistema antes del boot. En opciones avanzadas, vamos a Símbolo del sistema, y escribimos:

bootrec /fixmbr

Reiniciamos, y ya quedará arreglado.

Al parecer la web vuelve a estar en pie, y el problema habría quedado solucionado, aunque de momento os recomendamos que no descarguéis nada.

Quizá te interese…

Cómo configurar qBittorrent

Los mejores clientes y buscadores de archivos Torrent 2016

¿No te fías de Softonic? Las mejores webs para descargar programas gratis

Fuente > Softpedia

Continúa leyendo
Comentarios
11 comentarios
  1. Anti-haters
    Usuario no registrado
    03 Ago, 16 9:36 pm

    Qué safada, tengo un par de programas que me piden actualización y no he actualizado por pereza. Si lo hubiese hecho me habría comido con patatas seguro el virus este, pues qBittorrent te conduce a la web a descargar la nueva versión, en lugar de descargarla por sí mismo y actualizarse.

  2. j0akin 03 Ago, 16 11:29 pm

    Pues yo acabo de actualizar qbittorrent….
    Miedo me da
    Aunque he comprobado el hash y coincide con el publicado en la web. También han modificado los hashes???

    1. j0akin 04 Ago, 16 12:16 am

      he bajado el qbittorrent desde sourceforge y el hash es el mismo, por lo que entiendo que el fichero que me he bajado no esta afectado. estoy pasando un scan completo, a ver que encuentra…

  3. Ivansucho
    Usuario no registrado
    04 Ago, 16 5:34 am

    Mi computador fue afectado. Al parecer por irfanview. Sony vaio. No puedo reestablecerlo. Que pena. Ayuda por favor. Saludos

  4. .
    Usuario no registrado
    04 Ago, 16 7:53 am

    Si toca la MBR tiene pinta de un virus bueno avanzado que no te libras de el ni formateando pues ha infectado la bios

    1. Paco
      Usuario no registrado
      04 Ago, 16 9:13 am

      Tranquilo. El MBR está en el disco duro y se puede restaurar. Tu BIOS (si tu PC todavía usa BIOS, los actuales ya están usando UEFI) no habrá sido afectada. Además, el MBR se puede restaurar desde windows sin ni siquiera tener que reformatear el PC. En este mismo artículo te cuentan como

  5. ivansucho
    Usuario no registrado
    04 Ago, 16 5:12 pm

    hola. primero no me deja hacer ninguuna funcion en el laptop vaio. reinicio y no funciona ni f8 ni f12 etc. Pasa al momento al texto sijmpatico de PEGGLECREW. Solo me permite inghresar a la bios.
    Que debo hacer entonces. Las intrucciones que me dan por aca no me sirven. Y el enlace de Taringa me habla de Linux. Tengo windos
    gracias

    1. Anónimo
      Usuario no registrado
      05 Ago, 16 2:26 am

      Hola si tienes acceso a otra pc descarga la edicion de windows que te corresponda pro , home ,N o single lenguage y quemalo en un dvd , configura el bios para que inicie primero de la unidad lectora y haz lo que te indica el video.

  6. Anónimo
    Usuario no registrado
    05 Ago, 16 2:52 am

    Hola . Descargue el smplayerx64 el 2 de agosto a las 8pm mexico (01:00 utc/gmt 3 de agosto) reinicio y no sale ningun texto windows inicia con normalidad ,el analisis de avast y malwarebytes no muestran nada. De hecho smplayer inicia y se ejecuta con normalidad. Pero tengo duda por la posibilidad de infeccion por el dia de descarga de smplayerx64. Graciad

  7. Otr
    Usuario no registrado
    05 Ago, 16 5:14 am

    No entiendo nada de lo que dice el video, no hablo inglés. Podrían porfavor crear un tutorial en español de cómo solucionarlo.