FacebookTwitterLinkedIn

¿Cómo eliminar al RAT Nerbian del sistema infectado?

Conocido también como: Troyano de administración remota (RAT) Nerbian
Tipo: Troyano
Nivel de peligrosidad: Extremo

Tomas Meskauskas Escrito por el

¿Qué tipo de malware es Nerbian?

Nerbian es el nombre de un troyano de acceso remoto (RAT). Los RATs permite a los atacantes controlar las computadoras infectadas de forma remota. Nerbian es un RAT escrito en el lenguaje de programación Go. Puede registrar pulsaciones de teclas y capturar la pantalla. También puede tener capacidades adicionales. Lo descubrimos después de recibir un email que contenía un archivo adjunto malicioso.

Malware Nerbian

Más sobre el Nerbian RAT

Nerbian tiene la capacidad de registrar las pulsaciones de teclas, lo que significa que puede registrar las entradas del teclado (puede registrar todo lo que las víctimas escriben con un teclado). La mayoría de los ciberdelincuentes utilizan registradores de pulsaciones de teclas para robar detalles de tarjetas de crédito, nombres de usuario, contraseñas (u otras credenciales de inicio de sesión) y otra información confidencial.

Además, Nerbian puede tomar capturas de pantalla de la pantalla. Significa que puede capturar la actividad informática. Esta función también se puede utilizar para obtener información confidencial. Es importante mencionar que los RATs puede tener la capacidad de inyectar malware adicional (por ejemplo, ransomware, mineros de criptomonedas).

Resumen de la Amenaza:
Nombre Troyano de administración remota (RAT) Nerbian
Tipo de Amenaza Troyano de Acceso Remoto (RAT)
Nombres de Detección (Documento Malicioso) Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.Groooboor.Gen.12), ESET-NOD32 (DOC/TrojanDownloader.Agent.CF), Kaspersky (HEUR:Trojan-Downloader.MSOffice.Dotmer.gen), Tencent (Trojan.Win32.Office_Dl.11020340), Lista Completa (VirusTotal)
Nombres de Detección (Descargador de Malware) Avast (Win64:Malware-gen), Combo Cleaner (Trojan.GenericKD.50215192), ESET-NOD32 (WinGo/Agent.GF), Kaspersky (Trojan.Win32.Khalesi.lxrs), Microsoft (Trojan:Win32/Tnega!MSR), Lista Completa (VirusTotal)
Nombres de Detección (RAT Nerbian) Avast (FileRepMalware [Misc]), Combo Cleaner (Trojan.GenericKD.50213936), ESET-NOD32 (una variante de WinGo/Packed.Obfuscated.A Suspicious), Kaspersky (UDS:Trojan.Multi.GenericML.xnet), Microsoft (Trojan:Win32/Tnega!MSR), Lista Completa (VirusTotal)
Síntomas La mayoría de los RATs están diseñados para infiltrarse sigilosamente en el computador de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos de Distribución Archivos adjuntos de email infectados, anuncios maliciosos online, ingeniería social, 'cracks' de software.
Daño Contraseñas robadas e información bancaria, robo de identidad, la computadora de la víctima es agregada a una botnet.
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.
▼ Descargue Combo Cleaner para Windows
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.

RATs en general

Los RATs son un tipo de malware que los ciberdelincuentes utilizan para robar identidades y dinero, secuestrar cuentas personales, distribuir malware, etc. (depende de las capacidades del RAT). Por lo general, se disfrazan de programas legítimos. Además, los RATs puede ocultar su tráfico C2 para que no sea detectado. Más ejemplos de RATs son NetDooka, Borat y SiMay.

¿Cómo se infiltró Nerbian en mi computadora?

Hemos encontrado que Nerbian se distribuye a través de email. Los ciberdelincuentes usan un documento malicioso de Microsoft Office para engañar a los usuarios para que infecten las computadoras con este RAT. Su objetivo es engañar a los destinatarios para que abran un documento malicioso y habiliten los comandos de macros (habilitando la edición/contenido). Ese documento descarga un descargador para Nerbian después de habilitar los comandos de macros.

Cabe mencionar que los emails utilizados para enviar Nerbian afirman estar representando a la Organización Mundial de la Salud con información importante sobre el COVID-19. Los ciberdelincuentes también pueden usar otros temas para difundir este RAT por email.

¿Cómo evitar la instalación de malware?

No haga clic en enlaces ni abra archivos adjuntos en emails sospechosos/irrelevantes enviados desde direcciones desconocidas. Examine siempre dichos emails antes de hacer clic o abrir enlaces o archivos en ellos. Use páginas oficiales y enlaces directos cuando desee descargar software o archivos. No use páginas sospechosas, descargadores de terceros, redes P2P y fuentes similares.

Mantenga actualizado el sistema operativo y el software instalado. Utilice las herramientas proporcionadas por los desarrolladores oficiales para actualizarlos y activarlos. Si cree que su computadora ya está infectada, le recomendamos ejecutar un escaneo con Combo Cleaner para eliminar automáticamente el malware infiltrado.

Email disfrazado del email de la OMS que contiene un archivo adjunto utilizado para enviar Nerbian RAT:

Email utilizado para la distribución de malware Nerbian RAT

Texto en el email:

Subject: World Health Organization

World Health Organization
PROTECT YOURSELF & THOSE AROUND YOU

1. High temperature or shivering (chills).
2. New, continuous cough.
3. Loss or change to your sense of smell or tase.
4. Shortness of braeth.
5. Feeling tired or exhausted.
6. Aching body.
7. Heradache.
8. Sore throat.
9. Blocked or runny nose..
10. Loss of apetite
11. Diarrhoea.
12. Feeling sick or being sick.

What can you do to protect yourself from COVID-19?
For the latest health advice, please visit the attached document.
© 2022 WHO
Go WHO COVID-10 Dashboard

Adjunto malicioso que distribuye Nerbian:

Adjunto malicioso que distribuye al malware Nerbian

Otra captura de pantalla del documento MS utilizado para distribuir Nerbian:

Adjunto malicioso que distribuye al malware Nerbian 2

Eliminación automática instantánea de malware: La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
 ▼ DESCARGAR Combo Cleaner El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada. Por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí hay un ejemplo de un programa sospechoso que se ejecuta en la computadora de un usuario:

Proceso de malware ejecutándose en el Administrador de Tareas

Si revisó la lista de programas que se ejecutan en su computadora, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

manual malware removal step 1Descargue un programa llamado Autoruns. Este programa muestra aplicaciones de inicio automático, registro y ubicaciones del sistema de archivos:

Apariencia de la aplicación Autoruns

manual malware removal step 2Reinicie su computadora en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Ejecute Windows 7 o Windows XP en modo seguro con funciones de red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Clic en el botón "Reiniciar Ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas" y luego clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para iniciar en Modo Seguro con Funciones de Red.

Ejecute Windows 8 en modo seguro con funciones de red

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene presionado el botón "Shift" en su teclado. En la ventana "Elija una opción", haga clic en "Solucionar Problemas", luego seleccione "Opciones Avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de Inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana, debe hacer clic en la tecla "F5" en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Ejecute Windows 10 en modo seguro con funciones de red

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

manual malware removal step 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga el archivo Autoruns.zip y ejecute la aplicación Autoruns.exe

manual malware removal step 4En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desactive las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".

Actualice los resultados de la aplicación Autoruns

manual malware removal step 5Consulte la lista provista por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar la ruta y nombre completos. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar los archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del mouse sobre su nombre y elija "Eliminar".

Elimine malware en Autoruns

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su computadora. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Busque malware y elimínelo

Reinicie su computadora en modo normal. Seguir estos pasos debería eliminar cualquier malware de su computadora. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su computadora segura, instale las últimas actualizaciones del sistema operativo y use un software antivirus. Para asegurarse de que su computadora esté libre de infecciones de malware, recomendamos escanearla con Combo Cleaner.

Preguntas Frecuentes (FAQ)

Mi computadora está infectada con Nerbian RAT, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

No, este troyano de administración remota se puede eliminar sin formatear el dispositivo de almacenamiento.

¿Cuáles son los mayores problemas que puede causar el malware?

Puede causar problemas como pérdidas monetarias, robo de identidad, encriptación de datos, problemas relacionados con la privacidad online, seguridad en la navegación, etc.

¿Cuál es el propósito de Nerbian RAT?

Este RAT puede registrar pulsaciones de teclas (ingresar el teclado) y capturar la pantalla. Estas funciones se pueden usar para robar información confidencial (por ejemplo, nombres de usuario, contraseñas, detalles de tarjetas de crédito). También es común que los RATs sea capaz de inyectar malware adicional.

¿Cómo se infiltró Nerbian en mi computadora?

Se sabe que Nerbian RAT se distribuye a través de archivos adjuntos de email maliciosos (documentos de MS Word maliciosos). Los emails utilizados para entregar este RAT son en su mayoría emails con el tema de COVID-19. Esos archivos adjuntos infectan las computadoras después de habilitar los comandos de macros (habilitar los comandos de macros descarga un descargador para Nerbian RAT).

¿Me protegerá Combo Cleaner del malware?

Sí, Combo Cleaner puede detectar y eliminar casi todas las infecciones de malware conocidas. Si una computadora está infectada con malware de alto nivel, debe escanearse usando una opción de escaneo completo. El malware sofisticado puede ocultarse profundamente en el sistema operativo, por lo que ejecutar un análisis rápido no lo detectará.

▼ Mostrar discusión.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Guías de desinfección en otros idiomas
Nuevas guías para la eliminación de virus
Top de guías para la eliminación de virus
Código QR
Troyano de administración remota (RAT) Nerbian Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de Troyano de administración remota (RAT) Nerbian desde su dispositivo móvil.
Nuestra recomendación:

Acabe con las infecciones de malware para Windows hoy mismo:

▼ ELIMÍNELO AHORA
Descargue Combo Cleaner

Plataforma: Windows

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.