12 oct. 2016

Malware en JavaScript apaga el sistema cuando se cierra

Recientemente, un grupo de investigadores de seguridad han detectado un nuevo malware escrito en Javascript. Este código se encarga automáticamente de cambiar la página de inicio del navegador (para cargarse automáticamente con tan solo abrir el navegador) y, además, cuenta con una serie de funciones que, en caso de intentar cerrar el proceso del malware, este apaga el ordenador por completo.

Malware escrito en JavaScript similar a este lleva apareciendo desde 2014, sin embargo, esta es la primera vez que se detecta un malware tan avanzado, complejo y peligroso. Además de una alta ofuscación (al no estar cifrado como un binario, utiliza la técnica de la ofuscación) este script oculta varios payloads que llevan a cabo varias acciones en el ordenador de la víctima.
Malware ofuscado en JavaScript
Los diferentes pasos que realiza este malware son:
  • Crea una nueva carpeta en el sistema, llamada AppDataRoaming, y la oculta con una clave de registro.
  • Copia el archivo "wscript.exe" de Windows y lo pega en la carpeta anterior con un nombre aleatorio.
  • Se copia a sí mismo en dicha carpeta y añade un acceso directo a la carpeta "Inicio", llamado como "Start" del menú inicio de Windows.
  • Se asigna a sí mismo un icono de carpeta para ocultar que, en realidad, “Start” es un archivo.
  • Comprueba si hay conexión a Internet conectándose a Bing, Google y Microsoft.
  • Si la hay, envía datos de telemetría a un servidor y descarga de él un archivo script.
  • Este nuevo script cambia la página de inicio de nuestros navegadores.
  • Utiliza la herramienta de Windows WMI (Windows Management Instrumentation) para encontrar posible software de seguridad instalado.
  • Si detecta software de seguridad, el malware se cierra con un falso mensaje de error para no ser detectado.
  • Si permanece instalado y el usuario encuentra e intenta finalizar el proceso wscript.exe, el ordenador se apaga automáticamente.
  • Al volver a encender, al haberse copiado antes en la carpeta "Inicio" del menú inicio de Windows, el malware vuelve a cargarse en la memoria.

Cómo eliminar este malware escrito en JavaScript

En caso de estar infectado por este malware, la mejor forma de eliminarlo es, simplemente, reiniciar nuestro sistema en modo seguro o a prueba de fallos y, desde allí, buscar su entrada en el menú inicio llamada, como hemos dicho, “Start” y eliminarla.

De esta manera, cuando volvamos a arrancar nuestro ordenador con normalidad, el malware no se ejecutará de nuevo y podremos utilizar cualquier software de seguridad para detectarlo y eliminarlo.

Fuente: Redes Zone

3 comentarios:

  1. Hola, para esto entonces debe aplicar el principio de cuentas privilegios limitados y aplicar políticas para evitar ejecutables desde AppData, etc. Algo como lo utilizado para Cryptolocker: https://josecarlosnietoramos.wordpress.com/2015/01/30/como-evitar-que-el-ordenador-se-infecte-con-cryptolocker/

    ResponderEliminar
  2. dios mio. ¿¿¿Hasta ahora los expertos se enteran???. que chiste. este virus es viejo. lo tuve en mi pc hace 5 meses y lo elimine con un programa que se llama dextroyer http://www.maravento.com/p/dextroyer.html

    ResponderEliminar
  3. hace como un mes igual me toco solucionar una pc con ese virus XD

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!