Saltar al contenido

Este adware mutante es matar a un antivirus: qué hacer

19 junio, 2018

La destacada empresa rumana de seguridad cibernética y software antivirus Bitdefender ha revelado el último arma resistente para delincuentes que buscan violar los sistemas operativos de Windows: un adware que los investigadores llaman Zacinlo.

captura de pantalla 2018 06 18 a las 11.21.17 a.m. La interfaz de la VPN falsa les permitió a los usuarios creer que estaban habilitando una conexión en lugar de descargar adware. (Crédito: Bitdefender)

Resulta que alrededor de 2.500 máquinas han instalado, desde 2012, una aplicación de VPN falsa llamada S5Mark que, sin el conocimiento de los usuarios de las máquinas, viene acompañada de este sofisticado adware.

Qué hacer

Eliminar una infección de Zacinlo es bastante difícil, pero un investigador de Bitdefender le dijo a ZDNet que la mejor manera sería usar un disco de rescate de antivirus, que utiliza una memoria USB o disco óptico para arrancar la máquina infectada en una forma especializada de Linux que luego escanea Unidad de Windows sin ejecutar Windows. Las imágenes del disco de rescate se ofrecen de forma gratuita por muchos proveedores de antivirus: Bitdefender tiene instrucciones sobre cómo crear una aquí .

MÁS: mejores aplicaciones y software antivirus

¿De dónde vino Zacinlo?

Los cerebros detrás de Zacinlo lo han estado difundiendo desde 2012 y se cree que lo han optimizado para Windows 10 en algún momento de los últimos dos años.

La actividad de Zacinlo registró grandes picos en 2014 y 2015, pero el adware fue más activo a fines de 2017. Sus víctimas están muy concentradas en los EE. UU. Y en las máquinas con Windows 10: alrededor del 90 por ciento de los sistemas infectados con Zacinlo tenían Windows 10.

Dos factores ahora hacen que Zacinlo sea una amenaza mayor que hace un año. En primer lugar, puede sobrevivir a la mayoría de las defensas tradicionales contra el malware. El adware puede cargar la información de configuración de su sistema en un servidor remoto de comando y control para su análisis. El servidor de comando y control puede instruir al adware para que deshabilite y desinstale otras aplicaciones en su computadora, es decir, sus programas antivirus y antimalware, así como las variedades de adware que compiten entre sí.

En segundo lugar, Zacinlo ahora es un rootkit que opera en el nivel más bajo del sistema operativo, lo que hace que sea muy difícil de detectar. También escribe información de reinstalación en el Registro de Windows para que sobreviva reinicios e incluso actualizaciones de sistemas.

Además, es peligroso. Zacinlo (hasta ahora) se ha desplegado principalmente para inyectar anuncios en páginas web y para ejecutar un “navegador sin cabeza” (un navegador invisible sin una interfaz de usuario) para hacer clic en anuncios en el fondo de las computadoras de las víctimas.

Podría ensuciar con pagos en línea

Pero el adware puede hacer negocios más siniestros. Porque usa un robo. También es capaz de interceptar incluso las comunicaciones encriptadas, lo que podría permitirle ver y alterar sus pagos en línea.

Puede redirigir las solicitudes del navegador, lo que significa que puede cargar páginas web falsas que se vean exactamente como las reales. Y contiene un módulo que puede tomar y transferir capturas de pantalla de su pantalla de forma remota, lo que podría comprometer gran parte de su información personal.

Línea de fondo

Este descubrimiento debería servir como una llamada de atención: no descargue software sombrío. Antes de instalar el software VPN, investigue y asegúrese de que sea uno en el que pueda confiar .