Archivo Hbpix virus o un misterio?

Hay un archivo "Hbpix" que se baja automáticamente al navegar en cualquier página web (no una en específico). Aún en conocidas como Outlook o Google Docs.
Tanto en Chrome, Firefox como en Macs, PCs y Androids.

Les ha pasado? están navegando, dan un click para abrir un link y de repente en su folder de descargas se baja el archivo "Hbpix" (sin extensión), que al parecer se bajó de:
Yo lo noté desde hace 2 semanas. Usaba el Chrome más reciente (v. 61.0.3163.100) en una Mac 10.11.6, y cada 5-7 días se vuelve a bajar. A pesar de limpiar cookies y de usar modo Incognito (private) en Chrome; y además de vaciar la papelera de reciclaje . Mi Firewall (Little Snitch) tampoco detecta conexiones inusuales del sistema operativo o de alguna aplicación. Nota: No uso ad-blockers, salvo el default de Chrome que no hace gran cosa.

Google me llevó a esta tema en Reddit, pero los usuarios tampoco saben qué pasa. ESET Smart Security (1), Malwarebytes (1) y Kaspersky (2) no detectan nada. Pero disque Bitdefender (3) dice que es phishing attack... (disque).

Tema en Reddit: "Hbpix what is?"
www.reddit.com/r/antivirus/comments/6ubowp/hbpix_what_is/

(1) www.reddit.com/r/antivirus/comments/6ubowp/hbpix_what_is/dnim6h0/
(2) forum.kaspersky.com/index.php?/topic/379209-hbpix-en-android/
(3) www.reddit.com/r/antivirus/comments/6ubowp/hbpix_what_is/dnfxq7b/

howtoremove.guide/es/que-es-hbpix/

luisbago wrote: howtoremove.guide/es/que-es-hbpix/

Ironicamente.. ESET NOD32 me bloquea ese sitio de internet.


Por otro lado diabolo, es posible que tu compu ya este infectada.. y que esos archivos son otro tipo de cosas.. como actualización del virus o SPAM/ADWARE.


ahi en reddit parece que es sobre una infección de servidores (es un archivo con headers GIF encimados pero con codigo php?)

es un virus LEL.


www.virusresearch.org/hbpix-virus-file-removal-chrome-ff-ie/

Muchas gracias por sus aportaciones. Sigo comentando:

Tamalero wrote: ahi en reddit parece que es sobre una infección de servidores (es un archivo con headers GIF encimados pero con codigo php?)

Así es, pero el link de Stackexchange.com es del 2015. Pero no mencionan al "Hbpix" que es de Agosto-Septiembre 2017.

De los links que pusieron, pienso igual que un usuario de Reddit (1): Se ven sospechosos y el de virusresearch.org (2) te sugiere probar y bajar un anti-malware raro (no popular) "SpyHunter"... Además, ese link fue creado hace 4 días...

Y gracias Tamalero por reportar que ESET NOD32 te bloque el sitio de howtoremove.guide/es/que-es-hbpix/

Además, en mismo virusresearch.org leí los pasos para removerlo de Chrome y no tienen sentido. Dice que desinstales la "Extension" y pues no tengo ninguna. Y el Screenshot ni siquiera muestra dicha Extension. Tampoco los pasos de Chrome en howtoremove.guide tienen sentido ni coinciden con los de virusresearch.org.

Otro usuario que usa FreeBSD y Firefox encontró el mismo archivo en su sistema, y subió el Screenshot (3)
Y a esta otra le pasó en Android 4.3 (4)
Lo más raro, es que los antivirus actuales no detectan algo maligno (ver post inicial) ...
Y más raro aún, es que no haya información Oficial de sitios conocidos...

(1) www.reddit.com/r/antivirus/comments/6ubowp/hbpix_what_is/dnm21tj/
(2) www.virusresearch.org/hbpix-virus-file-removal-chrome-ff-ie/
(3) www.reddit.com/r/antivirus/comments/6ubowp/hbpix_what_is/dnp7r9k/
(4) forum.kaspersky.com/index.php?/topic/379209-hbpix-en-android/

Que curioso. Revisando rápidamente con el Agent Ransack nada mas encontré una copia en un folder de cache. En efecto tiene un encabezado de GIF89 pero no contiene código PHP. Simplemente lo borré.

Interesante búsqueda Passenger!
Cómo checaste que no tiene código PHP? el Agent Ransack te lo dijo? (no lo conocía)

En efecto, tiene un Header GIF89. Un usuario analizo superficialmente el archivo en código Hexadecimal con el programa "HxD", y no vio que contenga código PHP. Pero sugiere que alguien con más experiencia lo revise.
www.reddit.com/r/antivirus/comments/6ubowp/hbpix_what_is/dnfeqsz/
(La conclusión por el momento, es el último comentario de "HalfMileRide")

Lo revisé con Ultraedit (mi editor de código) pues tiene un modo Hexadecimal. Ahi fué fácil ver que no tenía PHP. Por cierto, si lo tuviera entonces lo mas probable es que sea un malware para servidores web pues las PC rara vez tienen el intérprete de PHP instalado. El código Hex no se vé que sea ejecutable pero no estoy seguro.

yo tengo el kaspersky free 18, y no me bloque la pagina.

Aqui un poco de info en español www.forospyware.com/t532396.html

Cosa rara, a mi me ha querido descargar un archivo pequeño en la pagina de toms hardware, pero la cancelo, no recuerdo el nombre del archivo. Solo me ha salido en esa pagina, y ya van como 3 o 4 veces en un periodo de un mes, que es cuando comenzo a aparecer. No veo nada extraño en mi compu, servicios de inicio o archivos sospechosos. Sabe que sera esa cosa, quiza y como dicen, es un script/malware enfocado a servers.

Pues en mi opinion.. me late que es un adware que se instala por medio de software gratis o por torrents.
Y te tira anuncias y/o intenta abrir esos archivos.

Si es un gif, posiblemente sea un gif "malvado". En android hay vulnerabilidades en los interpretes de imagenes nativos, y recordemos que android, por un gran desmadre burocrático entre google y operadores telefónicos hace que haya un gran número de fallas sin parchar, no obstante que google ya haya sacado las actualizaciones.

¿se acuerdan lo del relajop de los subtitulos "malvados"? Bueno, en escencia es lo mismo, si un interprete está mal escrito, peude ser abusado y darle a un atacante los mismos provilegios sobre los que opera el interprete, y en algunas plataformas estos suelen correr con privilegios altos.

ankoku wrote: por un gran desmadre burocrático entre google y operadores telefónicos hace que haya un gran número de fallas sin parchar, no obstante que google ya haya sacado las actualizaciones.

No es que los OT sean unos angelitos, pero Google tampoco es el bueno de la pelicula como uno suele pensar, ellos tambien dejan de actualizar sus dispositivos propios como los Nexus despues de dos o tres cambios de versiones, ahi esta mi tablet Nexus 7 2013 con android 6 y parche de seguridad de agosto de 2016. Lo unico que si actualizan son sus pinches google services para que las aplicaciones funcionen, porque esas si les continuan generando ingresos a traves del play market. Si tan solo fuera con MS y windows en escritorio, que puedes tener una compu de hace una decada, de cualquier marca, pero las actualizaciones te siguen llegando hasta que termine el soporte de el OS. Y eso es de por lo menos 5-10 años.

Es una de esas a ver si no está relacionado con el mineo de criptomonedas, uno que inadvertidamente se carga en el navegador, como recientemente se supo que andababn "probando" los de la Bahía Pirata.

torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

Crusader wrote: Lo unico que si actualizan son sus pinches google services para que las aplicaciones funcionen, porque esas si les continuan generando ingresos a traves del play market. Si tan solo fuera con MS y windows en escritorio, que puedes tener una compu de hace una decada, de cualquier marca, pero las actualizaciones te siguen llegando hasta que termine el soporte de el OS. Y eso es de por lo menos 5-10 años.

Y que opcion tenemos como consumidores? Pues dejar de comprar sus productos. Ya está aqui el día en que un teléfono de gama media-baja sea suficientemente bueno para el 80% de la población y no cambiarlo cada uno o dos años como cuando era "de moda" o "necesario" tener el ultimo gadget de la moda. No en balde Oreo trae soporte para actualizar el SO independientemente de las apps que las telefonicas o fabricantes quieran agregar.

Passenger wrote: Y que opcion tenemos como consumidores? Pues dejar de comprar sus productos. Ya está aqui el día en que un teléfono de gama media-baja sea suficientemente bueno para el 80% de la población y no cambiarlo cada uno o dos años como cuando era "de moda" o "necesario" tener el ultimo gadget de la moda. No en balde Oreo trae soporte para actualizar el SO independientemente de las apps que las telefonicas o fabricantes quieran agregar.

Yo no he comprado en la Play Store mas que el Teamspeak, aplicaciones solo uso un navegador, whatsapp y un reproductor de musica. De equipos android, solo he tenido 3: un samsung galaxy s (que lo desbloquee, le cambie el OS, el kernel y un monton de mugrero mas, y termine harto de todo este rollo), un moto g2 y ahorita recien compre Alcatel Idol 3 de cricket, que no planeo moddear porque es una flojera todo lo que se tiene que hacer, con el riesgo de matarlo en el proceso, ya esta desbloqueado y con android 6, me es suficiente a excepcion del apartado de parches de seguridad.

luisbago wrote: yo tengo el kaspersky free 18, y no me bloque la pagina.

Aqui un poco de info en español www.forospyware.com/t532396.html

Gracias. Fíjate que el OP abrió un segundo Thread (1) más porque le regresó el problema de que se sigue bajando el "hbpix" de vez en cuando.
(1) Nuevo thread que al momento están por asesorar al OP: www.forospyware.com/t533048.html

En el thread de Reddit antes mencionado, alguien especula que si no será una cookie "inofensiva"...?



A los demás, muchas gracias!

Passenger: No conocía Ultraedit, se ve lleno de Features; y gracias por la imagen! Es bueno saberlo que tmb te pasó, y tal vez a Crusader tmb.

Tamalero: En mi caso, por torrents o software gratis no creo, llevo meses sin instalar algo, salvo las actualizaciones de seguridad de Mac. Yo pienso que si fuera un adware, el culpable fue Chrome (lo uso), o Firefox (no lo uso, pero tmb lo mencionan), más el haber visitado una página web infectada¿?. Que repito, el archivo "hbpix" parece bajarse cuando quiere, y puede ser hasta mientras navegas en web seguras. Que suceda en Windows, FreeBSD !, Mac y Android 4.3, es demasiada coincidencia (por eso culpo a los navegadores). Y más raro que los antivirus no lo detecten... (aún) ahah

Ankoku: "Un GIF malvado" jajajaj sonó bien . No recordaba de la vulnerabilidad del intérprete de subtítulos que habías puesto. Sí pueda ser algo así!
Diaboliquin: Interesante eso del mineo de criptomonedas web!

Passenger: Del Android Oreo, no sabía que se podrá actualizar el SO independientemente de las telefónicas. Si sí, wow.


Edit:
Hay otro thread más en forospyware.com, aquí lo dejo, pero el OP (alex awper) no le dio seguimiento, por lo que no lo solucionó.
www.forospyware.com/t533120.html

Passenger wrote: Lo revisé con Ultraedit (mi editor de código) pues tiene un modo Hexadecimal. Ahi fué fácil ver que no tenía PHP. Por cierto, si lo tuviera entonces lo mas probable es que sea un malware para servidores web pues las PC rara vez tienen el intérprete de PHP instalado. El código Hex no se vé que sea ejecutable pero no estoy seguro.

El ultraedit, que recuerdos, hace 15 años me servia para crakear(parchear) un software de contabilidad muy famoso :Sealed:

Hoy el Chrome me pidio descargar un archivo "hbpix", lo cotorro es que me preguntara, así que lo que hice fue cancelar y luego decirle a chrome que bloquee la descarga. Lo curioso es que provino de un sitio conocido, el de MVS Noticias.

Si Chrome te pregunto, tal vez tenías el Auto-Download en OFF? ("ask where to save each file before downloading"). Haré lo mismo.

Después de cancelar el prompt de descargar, cómo hiciste para decirle a Chrome que "bloqueara la descarga"? o a qué te refieres? Como que no lo visualizo.