Un nuevo malware en JavaScript apaga el ordenador cuando se cierra

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Los piratas informáticos buscan constantemente crear nuevos malware lo más molestos y persistentes posibles que garanticen que, aunque el usuario lo intente, no van a lograr eliminarlo o desactivarlo. En una informática cada vez más enfocada a Internet, los piratas informáticos han empezado a crear nuevas aplicaciones maliciosas escritas en JavaScript que se ejecutan en tiempo real en el ordenador son tan solo visitar una web.

Recientemente, un grupo de investigadores de seguridad han detectado un nuevo malware escrito en este lenguaje de programación que se encarga automáticamente de cambiar la página de inicio del navegador (para cargarse automáticamente con tan solo abrir el navegador) y, además, cuenta con una serie de funciones que, en caso de intentar cerrar el proceso del malware, este apaga el ordenador por completo.

Malware escrito en JavaScript similar a este lleva apareciendo desde 2014, sin embargo, esta es la primera vez que se detecta un malware tan avanzado, complejo y peligroso. Además de una alta ofuscación (al no estar cifrado como un binario, utiliza la técnica de la ofuscación) este script oculta varios payloads que llevan a cabo varias acciones en el ordenador de la víctima.

Malware ofuscado en JavaScript

Los diferentes pasos que realiza este malware son:

  • Crea una nueva carpeta en el sistema, llamada AppDataRoaming, y la oculta con una clave de registro.
  • Copia el archivo “wscript.exe” de Windows y lo pega en la carpeta anterior con un nombre aleatorio.
  • Se copia a sí mismo en dicha carpeta y añade un acceso directo a la carpeta “Inicio”, llamado como “Start” del menú inicio de Windows.
  • Se asigna a sí mismo un icono de carpeta para ocultar que, en realidad, “Start” es un archivo.
  • Comprueba si hay conexión a Internet conectándose a Bing, Google y Microsoft.
  • Si la hay, envía datos de telemetría a un servidor y descarga de él un archivo script.
  • Este nuevo script cambia la página de inicio de nuestros navegadores.
  • Utiliza la herramienta de Windows WMI (Windows Management Instrumentation) para encontrar posible software de seguridad instalado.
  • Si detecta software de seguridad, el malware se cierra con un falso mensaje de error para no ser detectado.
  • Si permanece instalado y el usuario encuentra e intenta finalizar el proceso wscript.exe, el ordenador se apaga automáticamente.
  • Al volver a encender, al haberse copiado antes en la carpeta “Inicio” del menú inicio de Windows, el malware vuelve a cargarse en la memoria.

Cómo eliminar este malware escrito en JavaScript

En caso de estar infectado por este malware, la mejor forma de eliminarlo es, simplemente,reiniciar nuestro sistema en modo seguro o a prueba de fallos y, desde allí, buscar su entrada en el menú inicio llamada, como hemos dicho, “Start” y eliminarla.

Start malware en JavaScript

De esta manera, cuando volvamos a arrancar nuestro ordenador con normalidad, el malware no se ejecutará de nuevo y podremos utilizar cualquier software de seguridad para detectarlo y eliminarlo.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone